피드로 돌아가기
Your AI Agent Is Being Fed Lies, and Your Logs Won't Tell You
Dev.toDev.to
Security

MCP Tool Description 오염을 통한 AI Agent 데이터 유출 취약점 분석

Your AI Agent Is Being Fed Lies, and Your Logs Won't Tell You

Cor E2026년 7월 1일3advanced

Context

Model Context Protocol(MCP) 기반 AI Agent 시스템에서 Tool Description을 신뢰할 수 있는 인프라 영역으로 간주하는 아키텍처 설계의 맹점 노출. 기존 Prompt Injection이 사용자 입력값에 집중했다면, 본 사례는 Agent의 판단 근거가 되는 메타데이터 자체를 공격 벡터로 활용한 새로운 형태의 Supply Chain 공격임.

Technical Solution

  • Trust Boundary 재설정: Tool Registry 및 Metadata를 사용자 입력과 동일한 Untrusted Input으로 취급하는 Zero Trust 원칙 적용
  • Metadata Integrity Verification: Agent가 Tool Description을 소비하기 전 변경 사항을 검증하는 무결성 확인 프로세스 도입
  • Session-based Pattern Analysis: 개별 Action 단위의 Rule Matching을 넘어 Agent 세션 전반의 행동 패턴을 분석하는 모니터링 체계 구축
  • Write Access Control: Tool Description 수정 권한을 엄격히 제한하고 모든 변경 이력을 감사(Audit)하는로깅 메커니즘 강화
  • Behavioral Baseline 설정: 정상적인 Agent 동작 시퀀스를 정의하여 개별 액션은 정상이지만 전체 결과가 비정상적인 데이터 유출 패턴을 탐지하는 로직 설계

1. MCP Tool Registry의 수정 권한이 외부로 노출되어 있는지 검토

2. Agent의 개별 API 호출 로그가 아닌, 세션 단위의 데이터 흐름(Data Flow)를 추적하는 Observability 도구 도입

3. Tool Description에 포함된 지시문이 LLM의 시스템 프롬프트를 덮어쓰는지 확인하는 Red Teaming 수행

4. 인프라 레벨의 메타데이터에 대한 무결성 검증 체크섬(Checksum) 적용 여부 확인

원문 읽기