Tool Poisoning

2026

Paper Survey

MCP-38 論文閱讀分析:真正該防的可能不是單一 prompt injection,而是整個 MCP 協定層長出的新攻擊面

MCP-38 這篇論文的重要性不在於再多列幾個 scary case,而是把 Model Context Protocol 特有的風險整理成一套 protocol-specific threat taxonomy。真正該防的,不只是單一 prompt injection,而是 tool description poisoning、parasitic tool chaining、dynamic trust violations 這類會沿著描述層、串接層與信任層擴散的結構性攻擊面。

2026 年 4 月 21 日
Paper Survey

From Component Manipulation to System Compromise 論文閱讀分析:真正該防的不是某個單點 payload,而是惡意 MCP server 如何沿著 component 一路長成 system compromise

這篇論文把惡意 MCP server 從單點 payload 問題,改寫成 component composition 與 behavioral deviation 問題:攻擊者可以把壞意圖拆散藏進不同 component,再沿著多步執行一路長成真正的 system compromise。作者提出 Connor,透過執行前意圖分析與執行中行為偏航追蹤,去抓那些看起來不像明顯惡意、但其實正在逐步偏離工具原始功能的 server。

2026 年 4 月 21 日
Paper Survey

MSB 論文閱讀分析:當 MCP 真正把工具變成 AI 的行動介面,最危險的往往不是單一惡意 prompt,而是整條 tool-use pipeline 都能被接管

這篇論文最有價值的地方,不是再證明一次 MCP 有風險,而是把風險拆成整條 tool-use pipeline:從工具發現、工具選擇、參數帶入,到 tool response 與 retrieval content 回灌上下文,全部都可能成為攻擊面。MSB 用真實 MCP 工具與 2,000 個 attack instances 告訴你:真正該防的不是單一毒 prompt,而是整個 agent runtime control plane。

2026 年 4 月 18 日
Paper Survey

Prompt Injection SoK 論文閱讀分析:真正該被治理的,早就不只是 prompt,而是整條 coding agent 會接觸到的控制面

這篇 Prompt Injection Attacks on Agentic Coding Assistants 的 SoK 把問題講得很完整:當 coding assistant 已經能讀檔、跑 shell、接 MCP、吃 skill 與 repo 規則檔時,風險就不再只是某段 prompt 有沒有惡意,而是整條從外部內容、工具描述、協定整合到設定持久化的控制面都可能被注入。真正要治理的,是 agent runtime 的信任邊界,而不是只靠過濾器擋幾句關鍵字。

2026 年 4 月 17 日
Paper Survey

ClawGuard 論文閱讀分析:真正能擋下間接提示注入的,可能不是更乖的模型,而是工具邊界前那道不靠運氣的安檢

ClawGuard 這篇論文最重要的提醒是:對有工具權限的 LLM agent 來說,安全不能只押寶模型自己在被污染的上下文裡保持清醒,而要把防線放在每一次 tool call 即將落地的邊界。它用任務導出的規則、內容遮罩、技能檢查與人工批准,把 web content、MCP 與 skill file 三條間接注入路徑一起拉回可審計的 runtime control plane。

2026 年 4 月 17 日

廣告

文章分類

近期留言