Слуга, Преследователь, Хищник: Как Честный, Полезный и Безопасный (3H) Агент Осваивает Навыки Противодействия
Servant, Stalker, Predator: How An Honest, Helpful, And Harmless (3H) Agent Unlocks Adversarial Skills
August 27, 2025
Авторы: David Noever
cs.AI
Аннотация
В данной статье выявляется и анализируется новый класс уязвимостей в системах агентов, основанных на протоколе Model Context Protocol (MCP). Описывается и демонстрируется цепочка атак, показывающая, как безобидные, индивидуально авторизованные задачи могут быть организованы для создания вредоносных эмерджентных поведений. С помощью систематического анализа с использованием фреймворка MITRE ATLAS мы демонстрируем, как 95 агентов, имеющих доступ к нескольким сервисам, включая автоматизацию браузера, финансовый анализ, отслеживание местоположения и развертывание кода, могут объединять легитимные операции в сложные последовательности атак, выходящие за пределы границ безопасности любого отдельного сервиса. Эти упражнения "красной команды" исследуют, отсутствуют ли в текущих архитектурах MCP междоменные меры безопасности, необходимые для обнаружения или предотвращения широкого класса композиционных атак. Мы представляем эмпирические доказательства конкретных цепочек атак, которые достигают целевого вреда через оркестрацию сервисов, включая утечку данных, манипуляции с финансами и компрометацию инфраструктуры. Эти результаты показывают, что фундаментальное предположение безопасности об изоляции сервисов не работает, когда агенты могут координировать действия в нескольких доменах, создавая экспоненциально растущую поверхность атаки с каждым дополнительным функционалом. Это исследование предоставляет базовый экспериментальный фреймворк, который оценивает не то, могут ли агенты выполнять задачи из бенчмарка MCP, а то, что происходит, когда они выполняют их слишком хорошо и оптимизируют действия в нескольких сервисах способами, нарушающими человеческие ожидания и ограничения безопасности. Мы предлагаем три конкретных направления экспериментов с использованием существующего набора бенчмарков MCP.
English
This paper identifies and analyzes a novel vulnerability class in Model
Context Protocol (MCP) based agent systems. The attack chain describes and
demonstrates how benign, individually authorized tasks can be orchestrated to
produce harmful emergent behaviors. Through systematic analysis using the MITRE
ATLAS framework, we demonstrate how 95 agents tested with access to multiple
services-including browser automation, financial analysis, location tracking,
and code deployment-can chain legitimate operations into sophisticated attack
sequences that extend beyond the security boundaries of any individual service.
These red team exercises survey whether current MCP architectures lack
cross-domain security measures necessary to detect or prevent a large category
of compositional attacks. We present empirical evidence of specific attack
chains that achieve targeted harm through service orchestration, including data
exfiltration, financial manipulation, and infrastructure compromise. These
findings reveal that the fundamental security assumption of service isolation
fails when agents can coordinate actions across multiple domains, creating an
exponential attack surface that grows with each additional capability. This
research provides a barebones experimental framework that evaluate not whether
agents can complete MCP benchmark tasks, but what happens when they complete
them too well and optimize across multiple services in ways that violate human
expectations and safety constraints. We propose three concrete experimental
directions using the existing MCP benchmark suite.