技術的な説明
台湾の国立交通大学/国立陽明交通大学の研究者が、新しい攻撃クラス — Mid-Session Tool Injection (MSTI) — を、新興のWebMCPプロトコルに対して特定しました。WebMCPは、構造化されたツールをAIエージェントに直接公開することを可能にします。従来のMCPではツールセットが静的であるのに対し、WebMCPはセッション内での動的なツール登録をサポートしています。WebMCPセッションに第三者スクリプトを注入できる攻撃者は、2つの異なるサブ攻撃を実行できます。Tool Hijackingは、AbortSignal APIまたはツール登録中の競合状態を使用してエージェントに見えるツールセットを変更し、Tool Framingはツールメタデータフィールド(ツール名、説明、readOnlyHint、inputSchema)を汚染することでエージェントのツールロール認識を操作します。このペーパーは、両方の手法がエージェントのタスク実行を悪意のある結果へ正常にリダイレクトできることを実証しています。
攻撃経路
攻撃者が悪意のある第三者スクリプトをWebMCP対応ウェブセッションに注入します。スクリプトは正当なツール登録に対して競合するか、AbortSignal APIを悪用して正当なツールを悪意のあるツールに置き換えるか、ツールメタデータを変更してエージェントが悪意のあるツールを安全でタスク適切なものとして扱うようにします。エージェントのホストシステムへの直接アクセスは必要ありません — 攻撃面は動的ツール登録レイヤー自体です。
影響を受けるシステム
WebMCPプロトコルを使用してウェブコンテンツと相互作用するAIエージェント。第三者スクリプトソースからのWebMCPツール登録を信頼するエージェントランタイムに影響します。3つのSOTA LLMに対して実施されたテスト。実世界での露出度は、初期段階だが成長しているWebMCP採用率に依存します。
緩和策
著者が提案した軽減策:(1)ツール識別をそのオリジンドメインにバインドし、クロスオリジンツール置換を防止する、(2)ライフサイクル一貫性を強制する — ツール登録は初期同意後セッション中盤で変更不可とする、(3)第三者ツールスコープのデータ境界を強制する、(4)すべてのツール登録および呼び出しイベントの追跡可能なログを維持する。WebMCP対応エージェントを展開する組織は、本番環境展開前にツール登録信頼モデルを監査すべきです。