会员服务
工具 · 服务器 · 攻击 · 上下文 · 自适应 ·
2 月 22 日
MCPShield: A Security Cognition Layer for Adaptive Trust Calibration in Model Context Protocol Agents
翻译:MCPShield:面向模型上下文协议代理的自适应信任校准安全认知层
Zhenhong Zhou,Yuanhe Zhang,Hongwei Cai,Moayad Aloqaily,Ouns Bouachir,Linsey Pang,Prakhar Mehrotra,Kun Wang,Qingsong Wen
Zhenhong Zhou,Yuanhe Zhang,Hongwei Cai,Moayad Aloqaily,Ouns Bouachir,Linsey Pang,Prakhar Mehrotra,Kun Wang,Qingsong Wen
from arxiv, 21 pages, 5 figures, 6 tables

The Model Context Protocol (MCP) standardizes tool use for LLM-based agents and enable third-party servers. This openness introduces a security misalignment: agents implicitly trust tools exposed by potentially untrusted MCP servers. However, despite its excellent utility, existing agents typically offer limited validation for third-party MCP servers. As a result, agents remain vulnerable to MCP-based attacks that exploit the misalignment between agents and servers throughout the tool invocation lifecycle. In this paper, we propose MCPShield as a plug-in security cognition layer that mitigates this misalignment and ensures agent security when invoking MCP-based tools. Drawing inspiration from human experience-driven tool validation, MCPShield assists agent forms security cognition with metadata-guided probing before invocation. Our method constrains execution within controlled boundaries while cognizing runtime events, and subsequently updates security cognition by reasoning over historical traces after invocation, building on human post-use reflection on tool behavior. Experiments demonstrate that MCPShield exhibits strong generalization in defending against six novel MCP-based attack scenarios across six widely used agentic LLMs, while avoiding false positives on benign servers and incurring low deployment overhead. Overall, our work provides a practical and robust security safeguard for MCP-based tool invocation in open agent ecosystems.


翻译:模型上下文协议(MCP)为基于大语言模型的代理工具使用提供了标准化框架,并支持第三方服务器接入。这种开放性引入了一种安全错位问题:代理会隐式信任可能不可信的MCP服务器所暴露的工具。然而,尽管现有代理具有出色的实用性,它们通常对第三方MCP服务器提供的验证机制有限。因此,代理在整个工具调用生命周期中容易受到基于MCP的攻击,这些攻击利用了代理与服务器之间的安全错位。本文提出MCPShield作为一个插件式安全认知层,旨在缓解这种错位并确保代理在调用基于MCP的工具时的安全性。借鉴人类经验驱动的工具验证思想,MCPShield通过元数据引导的调用前探测,协助代理形成安全认知。我们的方法在执行过程中将操作约束在受控边界内,同时感知运行时事件,并在调用后基于人类对工具行为的后验反思机制,通过对历史轨迹的推理来更新安全认知。实验表明,MCPShield在防御六种广泛使用的智能体大语言模型上的六种新型基于MCP的攻击场景时表现出强大的泛化能力,同时能避免对良性服务器产生误报,且部署开销较低。总体而言,我们的工作为开放代理生态系统中基于MCP的工具调用提供了实用且鲁棒的安全保障机制。
0
下载
关闭预览

相关内容

可靠且负责任的基础模型:全面综述
可靠且负责任的基础模型:全面综述
专知会员服务
20+阅读 · 2月10日
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
专知会员服务
43+阅读 · 2025年7月18日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
45+阅读 · 2025年6月9日
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
专知会员服务
11+阅读 · 2025年5月6日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
大型语言模型代理的安全与隐私综述
大型语言模型代理的安全与隐私综述
专知会员服务
30+阅读 · 2024年8月5日
【CVPR2024】SNIFFER:用于可解释的脱离上下文谣言检测的多模态大型语言模型
【CVPR2024】SNIFFER:用于可解释的脱离上下文谣言检测的多模态大型语言模型
专知会员服务
19+阅读 · 2024年3月6日
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
专知会员服务
34+阅读 · 2024年1月26日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
【RecSys 2019报告】基于对话的推荐(Context Adaptation with Session‐based Recommenders)
【RecSys 2019报告】基于对话的推荐(Context Adaptation with Session‐based Recommenders)
专知会员服务
33+阅读 · 2019年9月20日
论文浅尝 | MCCLK: 一个用于知识感知推荐的多层次的交叉视图对比框架
论文浅尝 | MCCLK: 一个用于知识感知推荐的多层次的交叉视图对比框架
开放知识图谱
10+阅读 · 2022年8月8日
【ACMMM2020-北航】KBGN:用于视觉对话中自适应视觉-文本推理的知识桥图网络
【ACMMM2020-北航】KBGN:用于视觉对话中自适应视觉-文本推理的知识桥图网络
专知
10+阅读 · 2020年8月12日
【华为诺亚新论文】基于图上下文知识融入的预训练语言模型
【华为诺亚新论文】基于图上下文知识融入的预训练语言模型
专知
23+阅读 · 2019年12月8日
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
Keras新增TextVectorization层,可直接将文本字符串作为模型输入
Keras新增TextVectorization层,可直接将文本字符串作为模型输入
专知
19+阅读 · 2019年11月22日
【微软ICLR2020提交论文】多模态预训练表示UNITER:通用图像-文本语言表示学习
【微软ICLR2020提交论文】多模态预训练表示UNITER:通用图像-文本语言表示学习
专知
50+阅读 · 2019年10月20日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
【泡泡图灵智库】SGPN:用于3D点云实例分割的相似群建议网络(CVPR)
【泡泡图灵智库】SGPN:用于3D点云实例分割的相似群建议网络(CVPR)
泡泡机器人SLAM
15+阅读 · 2019年1月21日
使用tinc构建full mesh结构的VPN
使用tinc构建full mesh结构的VPN
运维帮
68+阅读 · 2018年12月1日
【论文推荐】最新六篇用户建模精选论文推荐—深度多模态融合、跨平台、时序性RNN、ATRank、嵌入因子分解、异构信息网络
【论文推荐】最新六篇用户建模精选论文推荐—深度多模态融合、跨平台、时序性RNN、ATRank、嵌入因子分解、异构信息网络
专知
10+阅读 · 2018年3月10日
基于信号理论和众包的社交媒体平台安全性和可信度群体评估方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
理性安全两方计算协议设计与安全性证明
国家自然科学基金
0+阅读 · 2015年12月31日
数据中心网络中延时敏感的传输控制协议
国家自然科学基金
0+阅读 · 2015年12月31日
基于信道差异的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
MCP Bridge: A Lightweight, LLM-Agnostic RESTful Proxy for Model Context Protocol Servers
Arxiv
0+阅读 · 3月10日
Model Context Protocol (MCP) Tool Descriptions Are Smelly! Towards Improving AI Agent Efficiency with Augmented MCP Tool Descriptions
Arxiv
0+阅读 · 2月21日
Model Context Protocol (MCP) Tool Descriptions Are Smelly! Towards Improving AI Agent Efficiency with Augmented MCP Tool Descriptions
Arxiv
0+阅读 · 2月16日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MCPShield: A Security Cognition Layer for Adaptive Trust Calibration in Model Context Protocol Agents
Arxiv
0+阅读 · 2月15日
MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols
Arxiv
0+阅读 · 2月12日
Security Threat Modeling for Emerging AI-Agent Protocols: A Comparative Analysis of MCP, A2A, Agora, and ANP
Arxiv
0+阅读 · 2月11日
Code2MCP: Transforming Code Repositories into MCP Services
Arxiv
0+阅读 · 2月11日
Don't believe everything you read: Understanding and Measuring MCP Behavior under Misleading Tool Descriptions
Arxiv
0+阅读 · 2月3日
MCP-Diag: A Deterministic, Protocol-Driven Architecture for AI-Native Network Diagnostics
Arxiv
0+阅读 · 1月30日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
服务器
攻击
上下文
自适应
最新内容
BES:让语言模型通过双向进化搜索自我改进
BES:让语言模型通过双向进化搜索自我改进
专知会员服务
0+阅读 · 36分钟前
ICML 2026 | 揭开视觉语言模型计数瓶颈:看得到,却说不出
ICML 2026 | 揭开视觉语言模型计数瓶颈:看得到,却说不出
专知会员服务
0+阅读 · 37分钟前
以色列-美国-伊朗战争中的无人机:关键要点
以色列-美国-伊朗战争中的无人机:关键要点
专知会员服务
3+阅读 · 今天14:04
美以伊战争:首次人工智能战争——军事自主性困境
美以伊战争:首次人工智能战争——军事自主性困境
专知会员服务
3+阅读 · 今天13:54
《Palantir任务保障性软件安全标准(MA-S2)》
《Palantir任务保障性软件安全标准(MA-S2)》
专知会员服务
6+阅读 · 今天13:49
《美海军利用扩展现实增强知识流动研究》300页报告
《美海军利用扩展现实增强知识流动研究》300页报告
专知会员服务
4+阅读 · 今天13:38
基于声学的无人机检测技术综述
基于声学的无人机检测技术综述
专知会员服务
5+阅读 · 今天13:37
《当代混合战争分析框架:俄乌战争经验教训》
《当代混合战争分析框架:俄乌战争经验教训》
专知会员服务
5+阅读 · 今天13:11
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
专知会员服务
10+阅读 · 5月29日
AutoScientists:自组织智能体团队驱动长期科学实验
AutoScientists:自组织智能体团队驱动长期科学实验
专知会员服务
5+阅读 · 5月29日
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
专知会员服务
5+阅读 · 5月29日
战略前沿人工智能的再思考(中文)
战略前沿人工智能的再思考(中文)
专知会员服务
7+阅读 · 5月29日
《量化地基防空系统间接效应的博弈论方法》
《量化地基防空系统间接效应的博弈论方法》
专知会员服务
5+阅读 · 5月29日
传感器网络:美国如何探测来自伊朗的导弹与无人机
传感器网络:美国如何探测来自伊朗的导弹与无人机
专知会员服务
6+阅读 · 5月29日
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
专知会员服务
8+阅读 · 5月29日
相关VIP内容
可靠且负责任的基础模型:全面综述
可靠且负责任的基础模型:全面综述
专知会员服务
20+阅读 · 2月10日
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
专知会员服务
43+阅读 · 2025年7月18日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
45+阅读 · 2025年6月9日
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
专知会员服务
11+阅读 · 2025年5月6日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
大型语言模型代理的安全与隐私综述
大型语言模型代理的安全与隐私综述
专知会员服务
30+阅读 · 2024年8月5日
【CVPR2024】SNIFFER:用于可解释的脱离上下文谣言检测的多模态大型语言模型
【CVPR2024】SNIFFER:用于可解释的脱离上下文谣言检测的多模态大型语言模型
专知会员服务
19+阅读 · 2024年3月6日
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
专知会员服务
34+阅读 · 2024年1月26日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
【RecSys 2019报告】基于对话的推荐(Context Adaptation with Session‐based Recommenders)
【RecSys 2019报告】基于对话的推荐(Context Adaptation with Session‐based Recommenders)
专知会员服务
33+阅读 · 2019年9月20日
热门VIP内容
相关资讯
论文浅尝 | MCCLK: 一个用于知识感知推荐的多层次的交叉视图对比框架
论文浅尝 | MCCLK: 一个用于知识感知推荐的多层次的交叉视图对比框架
开放知识图谱
10+阅读 · 2022年8月8日
【ACMMM2020-北航】KBGN:用于视觉对话中自适应视觉-文本推理的知识桥图网络
【ACMMM2020-北航】KBGN:用于视觉对话中自适应视觉-文本推理的知识桥图网络
专知
10+阅读 · 2020年8月12日
【华为诺亚新论文】基于图上下文知识融入的预训练语言模型
【华为诺亚新论文】基于图上下文知识融入的预训练语言模型
专知
23+阅读 · 2019年12月8日
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
【AAAI2020论文】用于视觉对话中深度视觉理解的自适应双向编码模型—DualVD, 中科院信工所于静等
专知
20+阅读 · 2019年11月24日
Keras新增TextVectorization层,可直接将文本字符串作为模型输入
Keras新增TextVectorization层,可直接将文本字符串作为模型输入
专知
19+阅读 · 2019年11月22日
【微软ICLR2020提交论文】多模态预训练表示UNITER:通用图像-文本语言表示学习
【微软ICLR2020提交论文】多模态预训练表示UNITER:通用图像-文本语言表示学习
专知
50+阅读 · 2019年10月20日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
【泡泡图灵智库】SGPN:用于3D点云实例分割的相似群建议网络(CVPR)
【泡泡图灵智库】SGPN:用于3D点云实例分割的相似群建议网络(CVPR)
泡泡机器人SLAM
15+阅读 · 2019年1月21日
使用tinc构建full mesh结构的VPN
使用tinc构建full mesh结构的VPN
运维帮
68+阅读 · 2018年12月1日
【论文推荐】最新六篇用户建模精选论文推荐—深度多模态融合、跨平台、时序性RNN、ATRank、嵌入因子分解、异构信息网络
【论文推荐】最新六篇用户建模精选论文推荐—深度多模态融合、跨平台、时序性RNN、ATRank、嵌入因子分解、异构信息网络
专知
10+阅读 · 2018年3月10日
相关论文
MCP Bridge: A Lightweight, LLM-Agnostic RESTful Proxy for Model Context Protocol Servers
Arxiv
0+阅读 · 3月10日
Model Context Protocol (MCP) Tool Descriptions Are Smelly! Towards Improving AI Agent Efficiency with Augmented MCP Tool Descriptions
Arxiv
0+阅读 · 2月21日
Model Context Protocol (MCP) Tool Descriptions Are Smelly! Towards Improving AI Agent Efficiency with Augmented MCP Tool Descriptions
Arxiv
0+阅读 · 2月16日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MCPShield: A Security Cognition Layer for Adaptive Trust Calibration in Model Context Protocol Agents
Arxiv
0+阅读 · 2月15日
MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols
Arxiv
0+阅读 · 2月12日
Security Threat Modeling for Emerging AI-Agent Protocols: A Comparative Analysis of MCP, A2A, Agora, and ANP
Arxiv
0+阅读 · 2月11日
Code2MCP: Transforming Code Repositories into MCP Services
Arxiv
0+阅读 · 2月11日
Don't believe everything you read: Understanding and Measuring MCP Behavior under Misleading Tool Descriptions
Arxiv
0+阅读 · 2月3日
MCP-Diag: A Deterministic, Protocol-Driven Architecture for AI-Native Network Diagnostics
Arxiv
0+阅读 · 1月30日
相关基金
基于信号理论和众包的社交媒体平台安全性和可信度群体评估方法研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
理性安全两方计算协议设计与安全性证明
国家自然科学基金
0+阅读 · 2015年12月31日
数据中心网络中延时敏感的传输控制协议
国家自然科学基金
0+阅读 · 2015年12月31日
基于信道差异的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信多云协作关键安全问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top