MCPHunt：マルチサーバーMCPエージェントにおける越境データ伝播の評価フレームワーク

要旨: マルチサーバMCPエージェントは、情報フロー制御の問題を生み出します。つまり、忠実なツール合成は、個別には無害な読み取り／書き込み権限を、境界を越えた資格情報（クレデンシャル）の伝播へと変えてしまうことがあり得ます。これは、必ずしも悪意のあるモデル挙動ではなく、ワークフロートポロジ（処理の流れの構造）に起因する構造的な副作用です。私たちは、知る限り、MCPのマルチサーバ間の信頼境界を越えて、非対抗的（非アドバーサリアル）かつ逐語的（verbatim）な資格情報の伝播を隔離して測定する、最初の制御ベンチマークであるMCPHuntを提案します。これには、次の3つの方法論的貢献があります。 (1) 伝播検出を客観的な文字列一致へと還元する、カナリア（canary）ベースのタント追跡。 (2) 危険だが無害（risky, benign）およびハードネガティブ条件を用いた、環境制御型のカバレッジ設計により、パイプラインの健全性を検証し、資格情報フォーマットの混同要因を制御する。 (3) CRS（カテゴリ別層化）により、タスクが要求する伝播（逐語的転送指示の忠実な実行）と、ポリシーに違反する伝播（秘匿（redact）オプションがあるにもかかわらず資格情報が含まれる）を切り離す。5モデルにまたがる147タスク、9つのメカニズムファミリからなる3,615本のメインベンチマークトレースにおいて、ポリシー違反の伝播率は全モデルで11.5--41.3%に達します。この伝播は経路（pathway）固有で（メカニズム間の範囲が25倍）、ブラウザを介したデータフローに集中しています。ハードネガティブによる制御は、生産環境のフォーマットに適合した資格情報が必要ではないこと、すなわちプロンプト主導の境界を越えたデータフローだけで十分であることの証拠を提供します。3モデルに対するプロンプト緩和（mitigation）研究では、ユーティリティを80.5%維持しながら、ポリシー違反の伝播を最大97%削減できますが、その有効性は指示追従能力に依存して変動します。これは、プロンプトレベルの防御だけでは不十分である可能性を示唆します。コード、トレース、ラベリングのパイプラインはMITおよびCC BY 4.0で公開されます。