기술 설명
국립교통대학교/국립양명교통대학교(대만) 연구원들이 새로운 공격 유형인 중간 세션 도구 주입(MSTI)을 WebMCP 프로토콜에 대해 식별했습니다. WebMCP 프로토콜은 웹사이트가 구조화된 도구를 AI 에이전트에 직접 노출할 수 있게 합니다. 도구 세트가 정적인 기존 MCP와 달리 WebMCP는 세션 내에서 동적 도구 등록을 지원합니다. WebMCP 세션에 제3자 스크립트를 주입할 수 있는 공격자는 두 가지 서로 다른 하위 공격을 실행할 수 있습니다: 도구 탈취(Tool Hijacking)는 AbortSignal API 또는 도구 등록 중 경쟁 조건을 사용하여 에이전트에 보이는 도구 세트를 수정하며, 도구 조작(Tool Framing)은 메타데이터 필드(도구 이름, 설명, readOnlyHint, inputSchema)를 오염시켜 에이전트의 도구 역할 인식을 조작합니다. 논문은 두 기법 모두 에이전트 작업 실행을 악의적인 결과로 성공적으로 리다이렉트할 수 있음을 보여줍니다.
공격 경로
공격자가 WebMCP 지원 웹 세션에 악의적인 제3자 스크립트를 주입합니다. 이 스크립트는 정당한 도구 등록과 경쟁하거나 AbortSignal API를 악용하여 악의적인 도구를 정당한 도구로 대체하거나, 도구 메타데이터를 수정하여 에이전트가 악의적인 도구를 안전하고 작업에 적절한 것으로 취급하도록 합니다. 에이전트의 호스트 시스템에 대한 직접적인 접근이 필요하지 않습니다 — 공격 표면은 동적 도구 등록 계층 자체입니다.
영향받는 시스템
WebMCP 프로토콜을 사용하여 웹 콘텐츠와 상호작용하는 AI 에이전트; 제3자 스크립트 소스의 WebMCP 도구 등록을 신뢰하는 모든 에이전트 런타임에 영향을 미칩니다. 3가지 최신 LLM에 대해 테스트 수행. 현실적 노출 정도는 WebMCP 채택률에 따라 달라지며, 현재 초기 단계이지만 증가하고 있습니다.
완화 방안
저자들이 제안한 완화 방안: (1) 도구 신원을 출처 도메인에 바인딩하여 크로스 오리진 도구 대체 방지; (2) 생명주기 일관성 강제 — 초기 동의 후 세션 중 도구 등록이 수정 불가능해야 함; (3) 제3자 도구 범위에 대한 데이터 경계 강제; (4) 모든 도구 등록 및 호출 이벤트의 추적 가능한 로그 유지. WebMCP 지원 에이전트를 배포하는 조직은 프로덕션 배포 전에 도구 등록 신뢰 모델을 감시해야 합니다.