技术说明
来自台湾国立阳明交通大学/国立交通大学的研究人员发现了针对新兴 WebMCP 协议的新型攻击类别——中途工具注入 (MSTI),该协议允许网站将结构化工具直接公开给 AI 代理。与传统 MCP 中工具集是静态的不同,WebMCP 支持会话内动态工具注册。能够将第三方脚本注入 WebMCP 会话的攻击者可以执行两种不同的子攻击:工具劫持,使用 AbortSignal API 或工具注册期间的竞态条件来修改对代理可见的工具集;以及工具框架化,通过污染元数据字段(工具名称、描述、readOnlyHint、inputSchema)来操纵代理对工具角色的感知。该论文证明了两种技术都可以成功地将代理任务执行重定向到恶意结果。
攻击途径
攻击者将恶意第三方脚本注入 WebMCP 启用的网络会话。该脚本与合法工具注册竞争或利用 AbortSignal API 来用恶意工具替代合法工具,或修改工具元数据以使代理将恶意工具视为安全且任务合适。不需要对代理主机系统的直接访问——攻击面是动态工具注册层本身。
受影响系统
使用 WebMCP 协议与网络内容交互的 AI 代理;影响任何信任来自第三方脚本源的 WebMCP 工具注册的代理运行时。针对三个最先进的 LLM 进行了测试。现实世界暴露程度取决于 WebMCP 采用率,该采用率处于早期阶段但在增长。
缓解措施
作者提议的缓解措施:(1) 将工具身份与其源域绑定,防止跨域工具替代;(2) 强制生命周期一致性——工具注册在初始同意后不应在会话中途修改;(3) 为第三方工具作用域强制实施数据边界;(4) 维护所有工具注册和调用事件的可追踪日志。部署 WebMCP 启用代理的组织应在生产部署前审计工具注册信任模型。