조금만 기회를 주면 끝없이 요구할 것이다: MCP 기반 AI 시스템에서 발신자 식별 오류를 이해하고 측정하는 연구

Give Them an Inch and They Will Take a Mile:Understanding and Measuring Caller Identity Confusion in MCP-Based AI Systems

모델 컨텍스트 프로토콜(MCP)은 대규모 언어 모델(LLM)이 외부 도구 및 서비스와 상호 작용할 수 있도록 하는 개방형 표준 인터페이스이며, 점점 더 많은 AI 에이전트에서 채택되고 있습니다. 그러나 MCP 기반 시스템의 보안은 아직 충분히 연구되지 않았습니다. 본 연구에서는 MCP 클라이언트에 통합된 MCP 서버에 대한 대규모 보안 분석을 수행했습니다. MCP 서버를 인증되지 않은 발신자로부터 신뢰할 수 있는 대상으로 취급하는 것은 근본적으로 보안상의 취약점을 야기합니다. MCP 서버는 종종 누가 요청을 수행하는지 구별할 수 없기 때문에, 단일 권한 부여 결정은 여러 개의 잠재적으로 신뢰할 수 없는 발신자에게 접근 권한을 암묵적으로 부여할 수 있습니다. 우리의 실증적 연구 결과에 따르면, 대부분의 MCP 서버는 지속적인 권한 부여 상태를 사용하며, 초기 권한 부여 후 발신자와 관계없이 재인증 없이 도구 사용을 허용합니다. 또한, 많은 MCP 서버가 각 도구 수준에서 인증을 적용하지 않아 민감한 작업에 대한 무단 접근을 가능하게 합니다. 이러한 결과는 일회성 권한 부여 및 서버 수준의 신뢰가 MCP 기반 시스템의 공격 표면을 크게 확대한다는 것을 보여주며, 명시적인 발신자 인증 및 세분화된 권한 부여 메커니즘의 필요성을 강조합니다.

The Model Context Protocol (MCP) is an open and standardized interface that enables large language models (LLMs) to interact with external tools and services, and is increasingly adopted by AI agents. However, the security of MCP-based systems remains largely unexplored.In this work, we conduct a large-scale security analysis of MCP servers integrated within MCP clients. We show that treating MCP servers as trusted entities without authenticating the caller identity is fundamentally insecure. Since MCP servers often cannot distinguish who is invoking a request, a single authorization decision may implicitly grant access to multiple, potentially untrusted callers.Our empirical study reveals that most MCP servers rely on persistent authorization states, allowing tool invocations after an initial authorization without re-authentication, regardless of the caller. In addition, many MCP servers fail to enforce authentication at the per-tool level, enabling unauthorized access to sensitive operations.These findings demonstrate that one-time authorization and server-level trust significantly expand the attack surface of MCP-based systems, highlighting the need for explicit caller authentication and fine-grained authorization mechanisms.