도구 연결에서 실행 제어로: MCP 스타일 에이전트 런타임의 보안 불변성 벤치마킹

Model Context Protocol (MCP) 스타일의 생태계는 언어 모델 (Language-model) 애플리케이션에 도구 (tools), 리소스 (resources), 프롬프트 (prompts) 및 전송 (transports)을 위한 실용적인 연결 계층을 제공합니다. 에이전트가 연결에서 실행으로 이동함에 따라, 보안 결정은 클라이언트 (clients), 서버 (servers), 프롬프트 (prompts), 승인 대화 상자 (approval dialogs), OAuth 배포 및 로그 (logs) 전반에 걸쳐 분산되어 있는 경우가 많습니다. 본 논문은 런타임 (runtime)이 MCP와 유사한 워크플로 (workflows)를 유지하면서 실행 계층의 불변성 (invariants)을 명시적이고 테스트 가능하게 만들 수 있는지 질문합니다. 우리는 8가지 불변성을 정의합니다: 메타데이터 비권한성 (metadata non-authority), 권한 부여 기반 승인 (grant-backed approval), 정규 리소스 (canonical resources), 주체 바인딩 (principal binding), 범위 지정된 기능 호출 (scoped capability invocation), 소스 및 대상 데이터 흐름 권한 부여 (source-and-target data-flow authorization), 거부 경로 감사 (deny-path audit), 그리고 명시적 프로토콜 상태 (explicit protocol state). 우리는 MCP 스타일의 에이전트 실행을 위한 핸들-기능 프로토콜 (Handle-Capability Protocol, HCP) 참조 런타임인 HCP를 구현하며, 이는 주체 (principals), 리소스 (resources), 권한 부여 (grants), 기능 (capabilities), 핸들 (handles), 정책 결정 (policy decisions), 데이터 파이프 체크 (data-pipe checks) 및 감사 항목 (audit entries)을 통해 호출을 나타냅니다. 우리는 HCP를 두 가지 MCP 유사 베이스라인과 비교 평가합니다: 단순한 연결 계층 런타임 (naive connection-layer runtime)과 메타데이터 린팅 (metadata linting), 세션 체크 (session checks) 및 호출별 승인 (per-call approvals)을 포함하는 실무 기반의 연결 계층 완화 베이스라인 (practice-informed connection-layer mitigation baseline)입니다. 10가지 벤치마크 사례 전반에 걸쳐, 단순한 베이스라인은 모델링된 모든 공격을 허용하고, 완화 베이스라인은 10개 중 6개를 허용하는 반면, HCP는 감사 증거 (audit evidence)를 보존하면서 10개 모두를 차단합니다. 절제 연구 (Ablations)를 통해 어떤 런타임 구성 요소가 공격을 차단하고 포렌식 증거 (forensic evidence)를 보존하는지 식별합니다. 로컬 인메모리 마이크로벤치마크 (local in-memory microbenchmark) 결과, 측정된 정책 (policy), 호출 (invocation), 피크 (peek) 및 파이프 (pipe) 작업에 대해 밀리초 미만의 평균 지연 시간 (mean latencies)을 보고합니다. 제한된 GitHub README 스크리닝 샘플은 취약점 발견이 아닌 생태계 신호를 제공합니다. 결과는 다음과 같은 좁은 범위의 주장을 뒷받침합니다: MCP 스타일의 에이전트 시스템은 연결 계층 관례 (connection-layer conventions) 외에도 실행 제어 계층 (execution-control layer)이 필요합니다.