技術的な説明
台湾の国立交通大学/国立陽明交通大学の研究者が、新興のWebMCPプロトコルに対する新しい攻撃クラス — Mid-Session Tool Injection (MSTI) — を特定した。WebMCPプロトコルはウェブサイトがAIエージェントに構造化されたツールを直接公開することを可能にする。従来のMCPではツールセットが静的であるのに対し、WebMCPはセッション内の動的ツール登録をサポートしている。WebMCPセッションに第三者スクリプトを挿入できる攻撃者は、2つの異なるサブ攻撃を実行できる:Tool Hijackingは、AbortSignal APIまたはツール登録中のレース条件を使用してエージェントに見えるツールセットを変更し、Tool Framingはメタデータフィールド(ツール名、説明、readOnlyHint、inputSchema)を汚染することでエージェントのツール役割に対する認識を操作する。このペーパーは両方の技術がエージェントタスク実行を悪意のある結果にリダイレクトすることに成功できることを実証している。
攻撃経路
攻撃者が悪意のある第三者スクリプトをWebMCP対応のウェブセッションに挿入する。スクリプトは正当なツール登録に対してレース条件を起こすか、AbortSignal APIを悪用して悪意のあるツールを正当なツールと置き換えるか、またはツールメタデータを変更してエージェントが悪意のあるツールを安全でかつタスク適切であると扱わせる。エージェントのホストシステムへの直接アクセスは不要であり — 攻撃対象面は動的ツール登録層そのものである。
影響を受けるシステム
WebMCPプロトコルを使用してウェブコンテンツと相互作用するAIエージェント。第三者スクリプトソースからのWebMCPツール登録を信頼するあらゆるエージェントランタイムが影響を受ける。3つの最先端LLMに対して実施されたテスト。実世界での露出の程度はWebMCP採用率に依存し、これは初期段階だが成長中である。
緩和策
著者が提案する緩和策:(1) ツール識別をその発信ドメインに結合し、クロスオリジンツール置換を防止する、(2) ライフサイクル一貫性を強制 — ツール登録は初期同意後のセッション途中で変更可能であってはならない、(3) 第三者ツールスコープのデータ境界を強制する、(4) すべてのツール登録および呼び出しイベントの追跡可能なログを保持する。WebMCP対応エージェントを展開する組織は、本番環境への展開前にツール登録信頼モデルを監査すべきである。