MCPHunt: 다중 서버 MCP 에이전트의 신뢰 경계 간 자격증명 유출을 측정하는 최초의 벤치마크——유출률 11.5~41.3%

연구자들이 MCPHunt를 발표했습니다. 이는 다중 서버 MCP 에이전트 시스템에서 신뢰 경계를 넘나드는 의도치 않은 자격증명 유출을 격리하기 위해 설계된 최초의 통제된 벤치마크입니다. MCP(Model Context Protocol)는 LLM이 여러 독립 서버를 통해 외부 도구와 데이터에 접근할 수 있도록 하는 개방형 표준입니다. 문제는 각각 합법적인 권한을 가진 읽기 및 쓰기 도구의 조합이 한 컨텍스트에서 다른 컨텍스트로 민감한 데이터를 의도치 않게 전송할 때 발생합니다.

MCPHunt는 무엇을 측정합니까?

MCPHunt는 편집 정책을 위반하는 자격증명 전파를 측정합니다——에이전트가 각 수준에서 할당된 권한 범위 내에서 작동하는 경우에도 마찬가지입니다. 벤치마크는 5개의 서로 다른 모델의 3,615개 주요 평가 추적, 147개 시나리오, 데이터가 의도치 않게 이동할 수 있는 9가지 메커니즘 계열을 포함합니다.

핵심 지표는 “정책 위반 전파율”입니다——편집 옵션이나 더 안전한 대안이 존재함에도 불구하고 에이전트가 자격증명을 신뢰 경계를 넘어 전송하는 빈도입니다. 결과는 모델에 따라 **11.5~41.3%**의 범위를 보였으며, 가장 높은 위반 집중도는 브라우저 매개 데이터 흐름에서 나타났습니다. 에이전트가 페이지를 가져와 결과를 다른 서버로 전달하는 경우입니다.

제어 기능은 어떻게 작동합니까?

세 가지 방법론적 기둥이 벤치마크의 객관성을 보장합니다:

1. 카나리아 기반 오염 추적은 유출 감지를 정확한 문자열 매칭으로 압축합니다——표시된 카나리아 토큰을 경계를 넘어 전달한 에이전트는 주관적 판단 없이 기록됩니다.
2. 환경 제어 커버리지는 위험한, 양성 및 하드 네거티브 시나리오를 결합하여 거짓 양성을 배제하고 파이프라인 무결성을 검증합니다.
3. **CRS 계층화(자격증명 라우팅 계층화)**는 작업 실행에 필요한 전파와 정책을 위반하는 전파를 분리합니다——이 분리 없이는 모델을 공정하게 비교하는 것이 불가능합니다.

프롬프트 기반 방어는 얼마나 효과적입니까?

프롬프트 기반 완화 조치는 80.5%의 유용성을 유지하면서 최대 97%의 위반 감소를 달성합니다——겉보기에는 강력한 결과입니다. 그러나 저자들은 즉시 이 결론을 제한합니다: 효과는 모델의 지시 준수 능력과 강하게 상관관계가 있으며, 이는 더 약한 모델은 동일한 완화 프롬프트를 사용해도 여전히 취약하다는 것을 의미합니다.

하드 네거티브 제어는 유출이 프로덕션 형식의 자격증명을 필요로 하지 않는다는 것을 보여줍니다——프롬프트 기반 경계 간 데이터 흐름만으로도 값을 전달하기에 충분하며, 이는 취약점이 구현상의 것이 아닌 구조적인 것임을 확인합니다. 이 연구의 결론은 명확합니다: 프롬프트 수준의 방어만으로는 충분하지 않으며, 무단 데이터 경로를 물리적으로 차단하는 프로토콜 및 런타임 수준의 기계적 제어가 필요합니다.

이것이 왜 중요합니까?

MCP는 2025~2026년에 걸쳐 LLM 에이전트를 도구에 연결하는 사실상의 표준이 되었습니다——지식 베이스부터 이메일 클라이언트, CI/CD 시스템까지. 새로운 MCP 서버가 추가될 때마다 공격 표면이 확장됩니다. MCPHunt는 지금까지 표준화된 보안 지표가 없었던 시스템을 처음으로 정량화하고, 에이전트 워크플로가 주요 통합 방법이 되기 전에 분석가를 보호하기 위한 도구의 공간을 열었습니다.