Injeksi Alat Mid-Session WebMCP (MSTI) — Skrip Pihak Ketiga Dapat Meretas atau Memanipulasi Alat Agen Selama Sesi Langsung melalui Protokol WebMCP

Peneliti dari National Chiao Tung University/National Yang Ming Chiao Tung University (Taiwan) mengidentifikasi kelas serangan baru — Mid-Session Tool Injection (MSTI) — terhadap protokol WebMCP yang sedang berkembang, yang memungkinkan situs web mengekspos alat terstruktur secara langsung ke agen AI. Berbeda dengan MCP tradisional di mana set alat bersifat statis, WebMCP mendukung pendaftaran alat dinamis dalam sesi. Penyerang yang dapat menyuntikkan skrip pihak ketiga ke dalam sesi WebMCP dapat melakukan dua sub-serangan yang berbeda: Tool Hijacking, yang memodifikasi set alat yang terlihat oleh agen menggunakan API AbortSignal atau kondisi race selama pendaftaran alat; dan Tool Framing, yang memanipulasi persepsi agen tentang peran alat dengan meracuni bidang metadata (nama alat, deskripsi, readOnlyHint, inputSchema). Makalah ini menunjukkan bahwa kedua teknik dapat berhasil mengalihkan eksekusi tugas agen menuju hasil berbahaya.

Penyerang menyuntikkan skrip pihak ketiga berbahaya ke dalam sesi web yang diaktifkan WebMCP. Skrip ini bersaing dengan pendaftaran alat yang sah atau memanfaatkan API AbortSignal untuk menggantikan alat berbahaya dengan alat yang sah, atau memodifikasi metadata alat untuk menyebabkan agen memperlakukan alat berbahaya sebagai aman dan sesuai dengan tugas. Tidak diperlukan akses langsung ke sistem host agen — permukaan serangan adalah lapisan pendaftaran alat dinamis itu sendiri.

Agen AI yang menggunakan protokol WebMCP untuk berinteraksi dengan konten web; mempengaruhi runtime agen apa pun yang mempercayai pendaftaran alat WebMCP dari sumber skrip pihak ketiga. Pengujian dilakukan terhadap tiga LLM SOTA. Tingkat paparan dunia nyata bergantung pada tingkat adopsi WebMCP, yang masih tahap awal tetapi terus berkembang.

Mitigasi yang diusulkan oleh para penulis: (1) ikat identitas alat ke domain asalnya, mencegah substitusi alat lintas asal; (2) paksakan konsistensi siklus hidup — pendaftaran alat tidak boleh dapat dimodifikasi di tengah sesi setelah persetujuan awal; (3) paksakan batas data untuk cakupan alat pihak ketiga; (4) pertahankan log yang dapat dilacak untuk semua peristiwa pendaftaran dan invokasi alat. Organisasi yang menerapkan agen yang diaktifkan WebMCP harus mengaudit model kepercayaan pendaftaran alat sebelum penerapan produksi.