Serviteur, Traqueur, Prédateur : Comment un agent Honnête, Serviable et Inoffensif (3H) Débloque des Compétences Adversariales
Servant, Stalker, Predator: How An Honest, Helpful, And Harmless (3H) Agent Unlocks Adversarial Skills
August 27, 2025
papers.authors: David Noever
cs.AI
papers.abstract
Cet article identifie et analyse une nouvelle classe de vulnérabilité dans les systèmes d'agents basés sur le protocole de contexte de modèle (MCP). La chaîne d'attaque décrit et démontre comment des tâches bénignes et individuellement autorisées peuvent être orchestrées pour produire des comportements émergents nuisibles. Grâce à une analyse systématique utilisant le cadre MITRE ATLAS, nous montrons comment 95 agents testés avec accès à plusieurs services - incluant l'automatisation de navigateur, l'analyse financière, le suivi de localisation et le déploiement de code - peuvent enchaîner des opérations légitimes en séquences d'attaque sophistiquées qui dépassent les limites de sécurité de tout service individuel. Ces exercices de red team examinent si les architectures MCP actuelles manquent de mesures de sécurité interdomaines nécessaires pour détecter ou prévenir une large catégorie d'attaques compositionnelles. Nous présentons des preuves empiriques de chaînes d'attaque spécifiques qui causent des dommages ciblés par l'orchestration de services, incluant l'exfiltration de données, la manipulation financière et la compromission d'infrastructures. Ces résultats révèlent que l'hypothèse fondamentale de sécurité de l'isolation des services échoue lorsque les agents peuvent coordonner des actions à travers plusieurs domaines, créant une surface d'attaque exponentielle qui croît avec chaque capacité supplémentaire. Cette recherche fournit un cadre expérimental minimal qui évalue non pas si les agents peuvent accomplir les tâches de référence MCP, mais ce qui se produit lorsqu'ils les accomplissent trop bien et optimisent à travers plusieurs services d'une manière qui viole les attentes humaines et les contraintes de sécurité. Nous proposons trois directions expérimentales concrètes utilisant la suite de référence MCP existante.
English
This paper identifies and analyzes a novel vulnerability class in Model
Context Protocol (MCP) based agent systems. The attack chain describes and
demonstrates how benign, individually authorized tasks can be orchestrated to
produce harmful emergent behaviors. Through systematic analysis using the MITRE
ATLAS framework, we demonstrate how 95 agents tested with access to multiple
services-including browser automation, financial analysis, location tracking,
and code deployment-can chain legitimate operations into sophisticated attack
sequences that extend beyond the security boundaries of any individual service.
These red team exercises survey whether current MCP architectures lack
cross-domain security measures necessary to detect or prevent a large category
of compositional attacks. We present empirical evidence of specific attack
chains that achieve targeted harm through service orchestration, including data
exfiltration, financial manipulation, and infrastructure compromise. These
findings reveal that the fundamental security assumption of service isolation
fails when agents can coordinate actions across multiple domains, creating an
exponential attack surface that grows with each additional capability. This
research provides a barebones experimental framework that evaluate not whether
agents can complete MCP benchmark tasks, but what happens when they complete
them too well and optimize across multiple services in ways that violate human
expectations and safety constraints. We propose three concrete experimental
directions using the existing MCP benchmark suite.