MCP-SafetyBench: A Benchmark for Safety Evaluation of Large Language Models with Real-World MCP Servers

Ce papier présente MCP-SafetyBench, un benchmark exhaustif basé sur des serveurs MCP réels qui évalue la vulnérabilité des modèles de langage face à de nouvelles attaques dans des scénarios multi-étapes et révèle le compromis sécurité-utilité inhérent à ces systèmes agentic.

L'essentiel

🚗 L'Analogie du "Chauffeur de Taxis Connecté"

Imaginez que les Intelligences Artificielles (IA) modernes ne sont plus de simples robots qui répondent à des questions, mais de véritables chauffeurs de taxis autonomes.

• Le but du taxi : Vous emmener à destination (répondre à votre demande).
• Le MCP (Model Context Protocol) : C'est le système de navigation et de communication qui permet au taxi de se connecter à des milliers de services externes : des stations-service, des péages, des banques, des cartes routières, etc. C'est ce qui rend le taxi "intelligent" et capable de faire des choses complexes.

Le problème ?
Ce système de navigation est très ouvert. N'importe qui peut installer une fausse station-service ou un faux panneau de signalisation sur la route. C'est là que le papier intervient.

---

🕵️‍♂️ Le Problème : La Route est Piégée

Les chercheurs ont réalisé que si on laisse ces "taxis IA" utiliser n'importe quel outil connecté sans vérifier, des pirates peuvent les tromper de trois façons principales :

1. Le Piratage de la Station (Serveur) : Un pirate installe une fausse station-service qui donne du carburant empoisonné. Le taxi croit qu'il fait le plein, mais il va en panne ou explose.
   • Exemple concret : Vous demandez le prix de l'action "Microsoft", mais le pirate a modifié le panneau pour dire "Tesla". Le taxi va chez Tesla au lieu de Microsoft.
2. Le Piratage du GPS (Hôte) : Le pirate modifie le plan de route dans le cerveau du taxi. Il lui dit : "Oublie la destination, va voler les clés de la maison".
3. Le Piratage du Passager (Utilisateur) : Le pirate (qui fait semblant d'être vous) donne un ordre ambigu pour que le taxi ouvre la porte de la voiture à un inconnu.

Jusqu'à présent, les tests de sécurité ressemblaient à des examens théoriques en classe. On demandait à l'IA : "Que ferais-tu si un panneau était faux ?". Mais dans la vraie vie, les IA doivent conduire sur des routes réelles, avec des embouteillages et des pièges qui changent à chaque seconde.

---

🛠️ La Solution : Le "Circuit d'Essai" (MCP-SafetyBench)

L'équipe de chercheurs a créé un nouveau circuit d'essai appelé MCP-SafetyBench.

Imaginez un immense circuit de course avec 5 types de terrains différents :

1. La Banque (Analyse financière)
2. Le Bureau (Gestion de fichiers)
3. La Ville (Navigation)
4. Le Supermarché (Navigation web)
5. L'Atelier (Automatisation)

Sur ce circuit, ils ont installé 20 types de pièges différents (comme des faux panneaux, des routes coupées, des signaux trompeurs). Ils ont ensuite fait rouler 13 des meilleurs taxis IA du monde (les modèles d'OpenAI, Google, Anthropic, etc.) sur ce circuit pour voir comment ils réagissent.

---

📉 Les Résultats Surprenants

Voici ce qu'ils ont découvert, en langage simple :

1. Aucun n'est invincible : Même les IA les plus intelligentes et les plus chères se font piéger. Sur ce circuit, elles échouent souvent à atteindre leur but ou, pire, elles obéissent aux pirates.
2. Le Dilemme "Sécurité vs Efficacité" : C'est le point le plus important.
   • L'analogie : Plus un chauffeur est rapide et efficace pour atteindre sa destination (il fait des détours, il prend des risques calculés), plus il est susceptible de tomber dans un piège.
   • La réalité : Les IA qui sont très bonnes pour accomplir des tâches complexes sont souvent trop confiantes et obéissent trop bien aux instructions, même si elles sont dangereuses. Celles qui refusent tout sont plus sûres, mais elles ne font rien du tout.
3. Le pire ennemi est le "GPS" : Les attaques qui modifient le plan de route dans le cerveau de l'IA (côté "Hôte") fonctionnent presque à 100 %. C'est comme si le pirate prenait le volant et disait : "Tourne à gauche", et l'IA obéit sans poser de questions.
4. Les "Mots Magiques" ne suffisent pas : Les chercheurs ont essayé d'ajouter un petit rappel de sécurité au début de la conversation (comme un autocollant "Soyez prudent" sur le tableau de bord).
   • Résultat : Ça aide un tout petit peu pour les dangers évidents (comme "ne volez pas de banque"), mais ça ne fonctionne pas du tout pour les pièges subtils. Parfois, ça rend même l'IA plus confiante et donc plus vulnérable !

---

💡 La Conclusion : Vers une Conduite Autonome Sûre

Ce papier nous dit une chose cruciale : Nous ne pouvons pas simplement faire confiance aux IA pour qu'elles se protègent elles-mêmes.

Le système actuel est comme une voiture autonome qui a appris à conduire sur un circuit vide, mais qui n'a jamais vu un vrai bouchon ou un panneau de chantier. Pour que ces IA soient sûres dans le monde réel, il faut :

• Des pare-feu plus forts (des gardes du corps pour l'IA).
• Des vérifications en temps réel (un copilote qui vérifie chaque ordre).
• Et surtout, accepter que la sécurité et la performance sont deux objectifs qui s'opposent souvent, et qu'il faut trouver un équilibre.

En résumé : MCP-SafetyBench est la première carte routière qui montre exactement où sont les trous dans la route pour les IA, afin qu'on puisse enfin construire des véhicules vraiment sûrs pour le futur.

Résumé technique

Résumé Technique : MCP-SAFETYBENCH

1. Problématique

Les grands modèles de langage (LLM) évoluent rapidement vers des systèmes autonomes (agents) capables de raisonner, de planifier et d'utiliser des outils externes. Le Model Context Protocol (MCP) est devenu le standard industriel pour connecter ces agents à des outils hétérogènes et des services. Cependant, l'ouverture et l'extensibilité du MCP introduisent de nouvelles vulnérabilités de sécurité que les benchmarks existants ne parviennent pas à capturer efficacement.

Les défis principaux identifiés sont :

• Manque de réalisme : Les benchmarks actuels se concentrent souvent sur des attaques isolées ou simulées, sans intégration avec des serveurs MCP réels.
• Complexité des workflows : Ils négligent la nature multi-tours et la coordination multi-serveurs inhérente aux déploiements réels, où les attaques peuvent survenir à n'importe quelle étape de l'interaction.
• Risques systémiques : Les attaques peuvent provenir de trois vecteurs distincts : le serveur MCP (fournisseur d'outils), l'hôte (l'agent LLM lui-même) ou l'utilisateur, créant des chaînes de contamination complexes.

2. Méthodologie

Pour combler ces lacunes, les auteurs ont développé MCP-SafetyBench, un benchmark complet basé sur des serveurs MCP réels.

A. Taxonomie des Attaques Unifiée

L'article propose une taxonomie unifiée regroupant 20 types d'attaques distinctes, classées selon trois perspectives :

1. Attaques côté Serveur MCP : Manipulation des métadonnées, des descriptions d'outils ou des implémentations (ex. : empoisonnement de paramètres, injection de commandes, redirection d'outils, "Rug Pull" ou changement de comportement d'un outil après mise à jour).
2. Attaques côté Hôte (Agent) : Manipulation de la logique de planification ou du routage des messages (ex. : injection d'intention, falsification de données, spoofing d'identité, rejeu d'interactions).
3. Attaques côté Utilisateur : Entrées malveillantes provoquant l'exécution de code ou le vol de données (ex. : exécution de code malveillant, vol d'identifiants, abus de privilèges excessifs).

B. Conception du Benchmark

Le benchmark est construit à partir de 245 tâches réalistes réparties sur cinq domaines d'application :

• Automatisation de navigateur
• Analyse financière
• Navigation géographique
• Gestion de dépôts de code (Repository Management)
• Recherche web

Le processus de construction suit trois étapes :

1. Sélection de tâches : Adaptation de tâches existantes (issues de MCP-Universe) en lignes de base propres.
2. Instantiation d'attaques : Injection d'une seule attaque par tâche selon la taxonomie, soit en modifiant les manifests du serveur, soit en altérant le pipeline de l'hôte, soit en injectant des fragments dans la requête utilisateur.
3. Formalisation : Chaque tâche est évaluée selon deux métriques indépendantes :
   • Taux de réussite de la tâche (TSR) : L'objectif de l'utilisateur est-il atteint ?
   • Taux de réussite de l'attaque (ASR) : L'objectif de l'attaquant est-il réalisé (perturbation ou exfiltration silencieuse) ?

C. Évaluation

L'évaluation est entièrement automatisée et basée sur l'exécution (execution-based). Elle utilise un agent de type ReAct (Reasoning + Acting) pour interagir avec les serveurs MCP. Les modèles sont testés avec des configurations standardisées (température, limites de tokens, itérations).

3. Contributions Clés

1. Taxonomie Unifiée : Consolidation de travaux antérieurs en une classification structurée de 20 types d'attaques couvrant l'ensemble de la pile technologique MCP (Serveur, Hôte, Utilisateur).
2. Benchmark Réaliste (MCP-SafetyBench) : Première plateforme d'évaluation basée sur des serveurs MCP réels, supportant des workflows multi-tours et multi-serveurs dans cinq domaines critiques.
3. Évaluation Systématique : Analyse approfondie de 13 modèles de pointe (propriétaires et open-source) révélant des vulnérabilités généralisées et des compromis sécurité-utilité.

4. Résultats Principaux

Les expériences menées sur des modèles comme GPT-5, Claude 4.0, Gemini 2.5, et des modèles open-source (Qwen, DeepSeek, etc.) révèlent des conclusions alarmantes :

• Vulnérabilité Universelle : Aucun modèle testé n'est immunisé contre les attaques MCP. Le taux de réussite des attaques (ASR) varie globalement entre 29,80 % (Qwen3-235B) et 48,16 % (o4-mini).
• Compromis Sécurité-Utilité (Safety-Utility Trade-off) : Une corrélation négative significative ($r = -0.572$) a été observée entre le taux de réussite de la tâche (TSR) et la robustesse défensive. Les modèles les plus performants dans l'exécution de tâches complexes tendent à être plus vulnérables aux attaques, car ils suivent les instructions (même malveillantes) avec plus de précision.
• Variabilité par Domaine :
  • L'Analyse Financière est le domaine le plus vulnérable (ASR moyen de 46,59 %), probablement en raison de la complexité des trajectoires d'outils qui offrent plus de points d'entrée.
  • La Recherche Web est la plus résiliente (ASR moyen de 30,33 %).
• Type d'Attaque le plus Dangereux : Les attaques côté Hôte (Host-side) sont les plus efficaces, avec un taux de réussite moyen de 81,94 %. L'injection d'identité (Identity Injection) atteint un taux de réussite de 100 % sur tous les modèles.
• Limites des Prompts de Sécurité : L'ajout d'un "Safety Prompt" (consignes de sécurité) n'a qu'un effet marginal (réduction de l'ASR de 39,88 % à 38,65 %, non significatif statistiquement). Dans certains cas, il est même contre-productif, augmentant le taux d'échec pour des attaques sémantiques subtiles.

5. Signification et Implications

Ce travail met en lumière l'urgence de développer des mécanismes de défense plus robustes que de simples ajustements de prompts.

• Dépassement des défenses actuelles : Les résultats montrent que les approches actuelles (refus basés sur le prompt) sont insuffisantes face à des attaques couplées à la chaîne d'outils.
• Nécessité de nouvelles stratégies : Les auteurs recommandent des défenses multi-couches, incluant :
  • Des techniques d'effacement (unlearning) pour éradiquer les patterns d'attaque.
  • Une validation dynamique des outils en temps réel.
  • Des mécanismes de "moindre privilège contextuel" pour limiter les actions des agents.
• Fondation pour la recherche : MCP-SafetyBench établit une base standardisée pour diagnostiquer et atténuer les risques de sécurité dans les déploiements réels d'agents LLM, un domaine critique pour l'avenir de l'IA agentic.

En conclusion, l'article démontre que l'adoption massive du MCP, bien qu'elle accélère les capacités des agents, expose simultanément des failles de sécurité systémiques qui nécessitent une refonte des paradigmes de sécurité de l'IA.