MCPHunt：マルチサーバーMCPエージェントの信頼境界を越えた認証情報漏洩を測定する初のベンチマーク——漏洩率11.5〜41.3%

研究者たちがMCPHuntを発表しました。これは、マルチサーバーMCPエージェントシステムにおける信頼境界を越えた意図しない認証情報漏洩を分離するために設計された、初の制御ベンチマークです。MCP（Model Context Protocol）はLLMが複数の独立したサーバーを通じて外部ツールやデータにアクセスできるオープン標準ですが、問題は読み書きツールの組み合わせが各々正当な権限を持ちながら、一方のコンテキストから別のコンテキストへ機密データを意図せず転送してしまう場合に生じます。

MCPHuntは何を測定するのか？

MCPHuntは、編集ポリシーに違反した認証情報の伝播を測定します——エージェントが各レベルで割り当てられた権限の範囲内で動作している場合でも同様です。ベンチマークには、5つの異なるモデルによる3,615件のメイン評価トレース、147シナリオ、データが意図せず移動しうる9つのメカニズムファミリーが含まれます。

中心となる指標は「ポリシー違反伝播率」——編集オプションやより安全な代替手段が存在するにもかかわらず、エージェントが認証情報を信頼境界を越えて転送する頻度です。結果はモデルによって11.5〜41.3%の範囲を示し、最も高い違反集中度はブラウザ経由のデータフローに見られました：エージェントがページを取得して結果を別のサーバーに転送するケースです。

制御機能はどのように機能するのか？

3つの方法論的柱がベンチマークの客観性を担保しています：

1. カナリアベースの汚染追跡は漏洩検出を正確な文字列マッチングに限定します——標識付きカナリアトークンを境界を越えて渡したエージェントは、主観的な判断なしに記録されます。
2. 環境制御されたカバレッジは、リスクのある、良性の、ハードネガティブなシナリオを組み合わせて、偽陽性を排除しパイプラインの完全性を検証します。
3. **CRS層別化（認証情報ルーティング層別化）**は、タスク実行に必要な伝播とポリシー違反の伝播を分離します——この分離なしにはモデルの公平な比較は不可能です。

プロンプトベースの防御はどの程度有効か？

プロンプトベースの緩和策は、80.5%の有用性を維持しながら最大97%の違反削減を達成します——一見強力な結果です。しかし著者らはすぐにこの結論を限定しています：効果はモデルの指示追従能力と強く相関するため、能力の低いモデルは同じ緩和プロンプトを使用しても脆弱なままです。

ハードネガティブ制御では、漏洩が本番環境形式の認証情報を必要としないことが示されています——プロンプト主導のクロスバウンダリーデータフローだけで値を転送するには十分であり、脆弱性が実装上のものではなく構造的なものであることが確認されました。研究の結論は明確です：プロンプトレベルの防御だけでは不十分であり、未承認のデータパスを物理的に防ぐプロトコルおよびランタイムレベルの機械的制御が必要です。

なぜこれが重要なのか？

MCPは2025〜2026年にかけて、LLMエージェントをツールに接続するためのデファクトスタンダードとなっています——ナレッジベースからメールクライアント、CI/CDシステムまで。新しいMCPサーバーが追加されるたびに攻撃面が拡大します。MCPHuntは、これまで標準化されたセキュリティ指標を持っていなかったシステムを初めて定量化し、エージェントワークフローが主流の統合方法になる前にアナリストを保護するためのツールへの道を開きます。