기술 설명
연구에 따르면 공개적으로 접근 가능한 MCP 서버의 43%가 명령 실행에 취약하며, ~21,000개의 노출된 AI 에이전트 인스턴스가 감지되었습니다. 공격자는 에이전트가 암묵적으로 신뢰하는 MCP 도구 메타데이터(설명, 매개변수)에 지침을 주입합니다. OpenClaw 공격 클래스는 암묵적 localhost 신뢰를 통해 개발자 에이전트를 탈취합니다.
공격 경로
도구 설명의 악성 메타데이터; 숨겨진 지침을 포함하는 중독된 도구 출력; localhost 신뢰의 웹 기반 악용; MCP 도구 라이브러리의 공급망 손상.
영향받는 시스템
MCP 또는 유사한 도구 호출 프레임워크를 사용하는 에이전트 AI 배포, 특히 개발자 환경 및 광범위한 도구 접근 권한이 있는 엔터프라이즈 어시스턴트.
완화 방안
MCP 서버 구현 강화; 도구 메타데이터 감사/샌드박싱; 지침/데이터 경계 시행; 암묵적 localhost 신뢰 제거; 권한 있는 도구에 대한 명시적 인증 요구; 도구 호출 이상 모니터링.