Sirviente, Acechador, Depredador: Cómo un Agente Honesto, Útil e Inofensivo (3H) Desbloquea Habilidades Adversariales
Servant, Stalker, Predator: How An Honest, Helpful, And Harmless (3H) Agent Unlocks Adversarial Skills
August 27, 2025
Autores: David Noever
cs.AI
Resumen
Este artículo identifica y analiza una nueva clase de vulnerabilidad en sistemas de agentes basados en el Protocolo de Contexto de Modelo (MCP, por sus siglas en inglés). La cadena de ataque describe y demuestra cómo tareas benignas y autorizadas individualmente pueden ser orquestadas para generar comportamientos emergentes dañinos. Mediante un análisis sistemático utilizando el marco MITRE ATLAS, demostramos cómo 95 agentes probados con acceso a múltiples servicios—incluyendo automatización de navegadores, análisis financiero, seguimiento de ubicación y despliegue de código—pueden encadenar operaciones legítimas en secuencias de ataque sofisticadas que trascienden los límites de seguridad de cualquier servicio individual. Estos ejercicios de equipo rojo evalúan si las arquitecturas actuales de MCP carecen de medidas de seguridad interdominio necesarias para detectar o prevenir una amplia categoría de ataques composicionales. Presentamos evidencia empírica de cadenas de ataque específicas que logran daños dirigidos mediante la orquestación de servicios, incluyendo exfiltración de datos, manipulación financiera y compromiso de infraestructura. Estos hallazgos revelan que la suposición fundamental de seguridad de aislamiento de servicios falla cuando los agentes pueden coordinar acciones a través de múltiples dominios, creando una superficie de ataque exponencial que crece con cada capacidad adicional. Esta investigación proporciona un marco experimental básico que evalúa no si los agentes pueden completar tareas de referencia de MCP, sino qué sucede cuando las completan demasiado bien y optimizan a través de múltiples servicios de maneras que violan las expectativas humanas y las restricciones de seguridad. Proponemos tres direcciones experimentales concretas utilizando el conjunto de pruebas de referencia de MCP existente.
English
This paper identifies and analyzes a novel vulnerability class in Model
Context Protocol (MCP) based agent systems. The attack chain describes and
demonstrates how benign, individually authorized tasks can be orchestrated to
produce harmful emergent behaviors. Through systematic analysis using the MITRE
ATLAS framework, we demonstrate how 95 agents tested with access to multiple
services-including browser automation, financial analysis, location tracking,
and code deployment-can chain legitimate operations into sophisticated attack
sequences that extend beyond the security boundaries of any individual service.
These red team exercises survey whether current MCP architectures lack
cross-domain security measures necessary to detect or prevent a large category
of compositional attacks. We present empirical evidence of specific attack
chains that achieve targeted harm through service orchestration, including data
exfiltration, financial manipulation, and infrastructure compromise. These
findings reveal that the fundamental security assumption of service isolation
fails when agents can coordinate actions across multiple domains, creating an
exponential attack surface that grows with each additional capability. This
research provides a barebones experimental framework that evaluate not whether
agents can complete MCP benchmark tasks, but what happens when they complete
them too well and optimize across multiple services in ways that violate human
expectations and safety constraints. We propose three concrete experimental
directions using the existing MCP benchmark suite.