기술 설명
대만의 국립교통대학교/국립양명교통대학교 연구원들이 새로운 공격 유형인 중간세션 도구 주입 (MSTI)을 발견했으며, 이는 웹사이트에서 구조화된 도구를 AI 에이전트에 직접 노출하도록 하는 새로운 WebMCP 프로토콜을 대상으로 합니다. 도구 집합이 정적인 전통적인 MCP와 달리, WebMCP는 세션 내 동적 도구 등록을 지원합니다. WebMCP 세션에 제3자 스크립트를 주입할 수 있는 공격자는 두 가지 서로 다른 부분 공격을 실행할 수 있습니다: AbortSignal API 또는 도구 등록 중 경합 조건을 사용하여 에이전트에 표시되는 도구 집합을 수정하는 도구 하이재킹, 그리고 도구 이름, 설명, readOnlyHint, inputSchema 등의 메타데이터 필드를 오염시켜 에이전트의 도구 역할에 대한 인식을 조작하는 도구 조작입니다. 이 논문은 두 기법 모두 에이전트 작업 실행을 악의적인 결과로 성공적으로 리디렉션할 수 있음을 보여줍니다.
공격 경로
공격자가 악의적인 제3자 스크립트를 WebMCP 지원 웹 세션에 주입합니다. 해당 스크립트는 정상적인 도구 등록과 경합하거나 AbortSignal API를 악용하여 악의적 도구를 정상 도구로 대체하거나, 에이전트가 악의적 도구를 안전하고 작업에 적합한 것으로 취급하도록 도구 메타데이터를 수정합니다. 에이전트 호스트 시스템에 대한 직접 접근이 필요하지 않으며, 공격 표면은 동적 도구 등록 계층 자체입니다.
영향받는 시스템
WebMCP 프로토콜을 사용하여 웹 콘텐츠와 상호작용하는 AI 에이전트에 영향을 미치며, 제3자 스크립트 소스의 WebMCP 도구 등록을 신뢰하는 모든 에이전트 런타임에 영향을 미칩니다. 최첨단 LLM 3개에 대해 테스트가 수행되었습니다. 실제 노출 정도는 초기 단계이지만 증가하고 있는 WebMCP 채택률에 따라 달라집니다.
완화 방안
저자들이 제안한 완화 방법: (1) 도구 아이디를 출처 도메인에 바인딩하여 교차 출처 도구 대체 방지; (2) 라이프사이클 일관성 강화 — 도구 등록은 초기 동의 이후 세션 중간에 수정할 수 없어야 함; (3) 제3자 도구 범위에 대한 데이터 경계 강화; (4) 모든 도구 등록 및 호출 이벤트의 추적 가능한 로그 유지. WebMCP 지원 에이전트를 배포하는 조직은 프로덕션 배포 전에 도구 등록 신뢰 모델을 감사해야 합니다.