Your AI Agent Can Be Hijacked With 3 Lines of JSON

Context

MCP는 Anthropic이 개발하고 OpenAI가 채택한 AI 에이전트 표준 프로토콜로, 외부 도구(파일 시스템, 데이터베이스, API, 브라우저)와의 통신을 담당한다. 그러나 MCP 서버는 도구 정의에 대해 거짓 정보를 제공할 수 있으며, 승인 후 도구 정의를 변경하는 것이 가능해 에이전트 보안이 심각하게 침해될 수 있다.

Technical Solution

• 도구 중독 탐지(Tool Poisoning Detection): 도구 설명 및 스키마에 포함된 10가지 은폐된 명령 패턴 감지, Unicode 정규화 및 재귀적 스키마 스캔으로 밀리초 내 공격 포착
• 러그 풀 탐지(Rug Pull Detection): 승인된 도구의 SHA-256 해시로 정의를 고정하고, 서버 변경 시 즉시 드리프트(drift) 감지 및 알림
• 인자 살균(Argument Sanitization): 경로 탐색(path traversal), 커맨드 인젝션, null 바이트, SQL 인젝션 패턴을 도구 호출 전에 차단
• 신뢰도 점수화(Trust Scoring): L0(신뢰 불가)부터 L4(감사 완료)까지 5단계 신뢰도 평가로 에이전트 권한을 차등 적용
• 자동 패치: pip install agent-aegis 후 aegis.init()으로 Claude, OpenAI, LangChain, CrewAI 등 MCP 호환 클라이언트에 자동 적용

Key Takeaway

MCP는 AI 에이전트의 표준 프로토콜이 될 것이지만, 현재 "서버를 신뢰하라"는 보안 모델은 실제 보안이 아니라 희망일 뿐이다. SQL 인젝션, XSS, npm 공급망 공격처럼 프로토콜 채택 초기 단계에서 보안 실패 패턴을 반복하지 않기 위해 런타임 가드레일 도입이 필수적이다.