MCP

2026

Paper Survey

MalTool 論文閱讀分析:真正危險的不是 agent 會不會選錯工具,而是那個工具本體可能一邊正常工作、一邊偷偷做壞事

MalTool 真正補上的不是 another tool poisoning story,而是 code-level implementation 這一層:攻擊者不只可以操縱工具描述,還能用 coding LLM 大量生成一邊正常工作、一邊偷偷外洩、竄改或拖垮流程的惡意工具。對 agent 生態來說,這已經是完整的 tool supply chain 與 runtime side-effect 問題。

2026 年 4 月 21 日
Paper Survey

MCP-38 論文閱讀分析:真正該防的可能不是單一 prompt injection,而是整個 MCP 協定層長出的新攻擊面

MCP-38 這篇論文的重要性不在於再多列幾個 scary case,而是把 Model Context Protocol 特有的風險整理成一套 protocol-specific threat taxonomy。真正該防的,不只是單一 prompt injection,而是 tool description poisoning、parasitic tool chaining、dynamic trust violations 這類會沿著描述層、串接層與信任層擴散的結構性攻擊面。

2026 年 4 月 21 日
Paper Survey

From Component Manipulation to System Compromise 論文閱讀分析:真正該防的不是某個單點 payload,而是惡意 MCP server 如何沿著 component 一路長成 system compromise

這篇論文把惡意 MCP server 從單點 payload 問題,改寫成 component composition 與 behavioral deviation 問題:攻擊者可以把壞意圖拆散藏進不同 component,再沿著多步執行一路長成真正的 system compromise。作者提出 Connor,透過執行前意圖分析與執行中行為偏航追蹤,去抓那些看起來不像明顯惡意、但其實正在逐步偏離工具原始功能的 server。

2026 年 4 月 21 日
Paper Survey

MSB 論文閱讀分析:當 MCP 真正把工具變成 AI 的行動介面,最危險的往往不是單一惡意 prompt,而是整條 tool-use pipeline 都能被接管

這篇論文最有價值的地方,不是再證明一次 MCP 有風險,而是把風險拆成整條 tool-use pipeline:從工具發現、工具選擇、參數帶入,到 tool response 與 retrieval content 回灌上下文,全部都可能成為攻擊面。MSB 用真實 MCP 工具與 2,000 個 attack instances 告訴你:真正該防的不是單一毒 prompt,而是整個 agent runtime control plane。

2026 年 4 月 18 日

廣告

文章分類

近期留言