MCP-SafetyBench: A Benchmark for Safety Evaluation of Large Language Models with Real-World MCP Servers

Il paper presenta MCP-SafetyBench, un benchmark completo basato su server MCP reali che valuta la sicurezza dei modelli linguistici di grandi dimensioni in scenari multi-turno e multi-dominio, rivelando che tutti i modelli testati rimangono vulnerabili agli attacchi MCP e sottolineando l'urgenza di sviluppare difese più robuste.

L'essenziale

Ecco una spiegazione semplice e creativa del paper MCP-SafetyBench, pensata per chiunque, anche senza conoscenze tecniche.

🌍 L'Analogia: Il "Fai-da-te" Intelligente e il suo Negozio di Attrezzi

Immagina che i Modelli Linguistici (LLM) come ChatGPT siano dei falegnami super intelligenti. Prima, questi falegnami potevano solo parlare o scrivere ricette. Ma ora, grazie al MCP (Model Context Protocol), sono diventati dei maestri artigiani che possono usare attrezzi reali: possono ordinare materiali online, calcolare costi, navigare su mappe o gestire file sul computer.

Il MCP è come un passaporto universale che permette a questi falegnami di entrare in migliaia di diversi negozi di ferramenta (i "Server") per prendere gli attrezzi di cui hanno bisogno.

⚠️ Il Problema: Il Negozio di Attrezzi è stato Sabotato

Il problema è che questo sistema è aperto a tutti. Immagina che un malintenzionato entri di notte in uno di questi negozi di ferramenta e:

1. Sostituisca le etichette sugli attrezzi (es. l'etichetta "Cacciavite" dice "Cacciavite", ma dentro c'è un trapano che buca il muro).
2. Scriva istruzioni false sul manuale di un attrezzo ("Per usare questo, devi prima cancellare il garage").
3. Faccia finta di essere il proprietario del negozio per ingannare il falegname.

Quando il falegname (l'IA) usa questi attrezzi avvelenati, potrebbe finire per distruggere il tuo computer, rubare le tue password o fare cose che non volevi, tutto mentre pensa di stare lavorando correttamente.

🔍 La Soluzione: MCP-SafetyBench (Il Campo di Addestramento)

Gli autori di questo paper hanno creato un campo di addestramento speciale chiamato MCP-SafetyBench. È come un grande parco giochi dove mettono alla prova questi falegnami intelligenti in situazioni realistiche e pericolose.

Ecco cosa fanno nel loro esperimento:

1. Cinque Ambienti Reali: Non usano solo attrezzi finti. Hanno creato scenari reali in 5 aree:

   • Navigazione su internet (come cercare un volo).
   • Analisi finanziaria (come controllare le azioni di un'azienda).
   • Gestione di file e codice (come organizzare una libreria digitale).
   • Automazione del browser (come compilare moduli online).
   • Posizionamento (come trovare un indirizzo).

2. 20 Tipi di Trappole: Hanno preparato 20 tipi diversi di trappole (attacchi). Alcune trappole sono rumorose (vogliono farti fallire subito), altre sono silenziose (vogliono rubare dati senza che te ne accorga).

   • Esempio: Chiedi "Quanto costa l'azione JNJ?" e il sistema, invece, ti mostra il prezzo di "TSLA" perché l'etichetta è stata manomessa.

3. Il Test: Hanno fatto lavorare i migliori falegnami del mondo (sia quelli privati come GPT-4/5, sia quelli gratuiti come Qwen o DeepSeek) in questo campo di addestramento.

📉 Cosa Hanno Scoperto? (I Risultati Sorprendenti)

Ecco le scoperte principali, spiegate in modo semplice:

• Nessuno è al sicuro: Tutti i modelli, anche i più costosi e intelligenti, sono caduti nelle trappole. Non c'è un "falegname invincibile".
• Il Dilemma: Sicurezza vs. Utilità: C'è un paradosso curioso. I modelli che sono bravissimi a fare il lavoro (alta "Utilità") tendono ad essere più facili da ingannare.
  • Analogia: Un falegname così obbediente e preciso che segue alla lettera le istruzioni del manuale, anche se il manuale è stato modificato da un ladro, finirà per fare un disastro. Un falegname più "cauto" o meno esperto potrebbe rifiutarsi di usare un attrezzo sospetto, ma così facendo non finisce il lavoro.
• Le Trappole Silenziose sono le Peggiori: Le trappole che non fanno rumore (quelle che fanno fare cose sbagliate senza che l'IA se ne accorga) sono più frequenti e pericolose di quelle che fanno esplodere tutto subito.
• Il "Negozio" è il punto debole: La maggior parte degli attacchi (quasi il 75%) avviene quando l'IA si fida di un "negozio di ferramenta" (Server) esterno che è stato compromesso, non quando l'utente fa qualcosa di sbagliato.

💡 Cosa significa per noi?

Il paper ci dice che non basta dire all'IA "sii gentile" o "non fare cose cattive" (questo è quello che chiamano "Safety Prompt"). È come dare un cartello "Attenzione ai ladri" a un falegname: se il manuale dell'attrezzo è stato modificato, il cartello non serve a nulla.

La conclusione?
Dobbiamo costruire sistemi di sicurezza più robusti, come ispezionare gli attrezzi prima di usarli o avere un "caposquadra" che controlla le istruzioni, perché affidarsi solo all'intelligenza dell'IA non è più sufficiente in un mondo dove gli attrezzi possono essere avvelenati.

In sintesi: L'IA sta diventando potentissima, ma sta anche diventando molto ingenua quando si fida di strumenti esterni. Dobbiamo insegnarle a diffidare, non solo a obbedire.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "MCP-SAFETYBENCH: A BENCHMARK FOR SAFETY EVALUATION OF LARGE LANGUAGE MODELS WITH REAL-WORLD MCP SERVERS", presentato come paper di conferenza all'ICLR 2026.

1. Il Problema: Rischi di Sicurezza negli Agenti LLM con MCP

I Large Language Models (LLM) stanno evolvendo da semplici generatori di testo a sistemi agentichi capaci di ragionamento, pianificazione e utilizzo di strumenti esterni. Il Model Context Protocol (MCP) è diventato lo standard per connettere questi agenti a strumenti eterogenei e servizi. Tuttavia, l'apertura e l'estensibilità del MCP introducono nuove superfici di attacco che i benchmark di sicurezza esistenti non riescono a catturare adeguatamente.

I limiti degli approcci attuali includono:

• Mancanza di scenari realistici: Molti benchmark si concentrano su attacchi isolati o simulati, senza integrare server MCP reali.
• Assenza di flussi multi-turno: Non valutano la complessità delle interazioni multi-step e multi-server tipiche degli agenti reali.
• Copertura limitata: Spesso trascurano le dinamiche di minaccia che emergono durante la propagazione del contesto tra diversi server o host.

2. Metodologia: MCP-SafetyBench

Gli autori presentano MCP-SafetyBench, un benchmark completo costruito su server MCP reali per valutare la robustezza degli agenti LLM.

A. Architettura e Costruzione

Il benchmark è basato su MCP-Universe e segue tre principi fondamentali: realismo (task specchiati su applicazioni reali), copertura (vulnerabilità su tutto lo stack MCP) e riproducibilità (valutazione deterministica basata sull'esecuzione).
Il processo di costruzione prevede tre fasi:

1. Selezione dei Task: Scelta di task da cinque domini reali: automazione browser, analisi finanziaria, navigazione geografica, gestione repository e ricerca web.
2. Istanteazione degli Attacchi: Ogni task base viene modificato inserendo un attacco specifico dalla tassonomia proposta (es. avvelenamento dei parametri, iniezione di comandi).
3. Formalizzazione: Ogni task è definito come una tupla $\tau = (G, C, T_{available}, A)$, dove $A$ è l'attacco iniettato.

B. Tassonomia degli Attacchi

Il paper propone una tassonomia unificata di 20 tipi di attacchi suddivisi in tre categorie:

1. Attacchi lato Server MCP: Manipolazione di metadati, descrizioni degli strumenti o implementazioni (es. Tool Poisoning, Function Overlapping, Rug Pull Attack).
2. Attacchi lato Host MCP: Attacchi che prendono di mira la logica di pianificazione e l'orchestrazione dell'agente (es. Intent Injection, Data Tampering, Identity Spoofing).
3. Attacchi lato Utente: Input malevoli che inducono l'esecuzione di codice dannoso o la fuga di dati (es. Malicious Code Execution, Credential Theft).

C. Metriche di Valutazione

La valutazione è automatizzata e produce due etichette per ogni esecuzione:

• Task Success Rate (TSR): Misura se l'obiettivo dell'utente è stato raggiunto.
• Attack Success Rate (ASR): Misura se l'obiettivo dell'attaccante (es. alterazione del risultato, furto dati) è stato realizzato.

3. Contributi Chiave

1. Tassonomia Unificata: Definizione di 20 tipi di attacchi MCP che consolidano lavori precedenti e chiariscono le categorie di minaccia su server, host e utente.
2. Benchmark Realistico: Creazione di MCP-SafetyBench con 245 casi di test su server MCP reali, coprendo 5 domini e supportando valutazioni di sicurezza multi-step.
3. Valutazione Sistematica: Analisi estesa su modelli LLM proprietari e open-source, rivelando vulnerabilità critiche e compromessi tra sicurezza e utilità.

4. Risultati Sperimentali

Gli autori hanno testato 13 modelli (inclusi GPT-5, Claude 4.0, Gemini 2.5, Grok-4, Qwen3, DeepSeek-V3.1) su MCP-SafetyBench.

• Vulnerabilità Universale: Tutti i modelli, indipendentemente dall'architettura (open-source vs proprietario) o dalle capacità di ragionamento, rimangono vulnerabili agli attacchi MCP. L'ASR globale varia dal 29,80% al 48,16%.
• Trade-off Sicurezza-Utilità: È stata osservata una forte correlazione negativa ($r = -0,572$) tra il successo del task (TSR) e la difesa dagli attacchi (DSR). I modelli che performano meglio nei task tendono a essere meno resistenti agli attacchi, probabilmente perché ottimizzati per seguire istruzioni in modo indiscriminato.
• Domini Critici: Il dominio Analisi Finanziaria mostra la vulnerabilità più alta (ASR medio del 46,59%), mentre la Ricerca Web è la più sicura (30,33%).
• Tipi di Attacco:
  • Gli attacchi lato Host (es. Identity Spoofing, Intent Injection) hanno il tasso di successo più alto (media 81,94%), con l'Identity Spoofing che raggiunge il 100% su tutti i modelli.
  • Gli attacchi di avvelenamento degli strumenti (Tool Poisoning) mostrano una variabilità interna significativa; ad esempio, il Tool Redirection ha un ASR del 70,63%, mentre altri varianti sono meno efficaci.
• Limiti dei Prompt di Sicurezza: L'aggiunta di prompt di sicurezza (Safety Prompts) ha mostrato un miglioramento statisticamente non significativo (-1,22% nell'ASR ponderato). In alcuni casi, ha addirittura peggiorato le prestazioni o è stato inefficace contro attacchi semantici complessi.

5. Significato e Implicazioni

Questo lavoro evidenzia che la sicurezza degli agenti LLM in ambienti MCP reali è una sfida aperta e urgente.

• Necessità di Difese Multilivello: Le difese basate solo sui prompt sono insufficienti. Sono necessarie strategie che includano la validazione dinamica degli strumenti, meccanismi di "least privilege" contestuali e tecniche di unlearning dei modelli.
• Standard per la Ricerca: MCP-SafetyBench stabilisce un nuovo standard per diagnosticare e mitigare i rischi di sicurezza nelle implementazioni MCP reali, spostando il focus da test statici a valutazioni basate sull'esecuzione in scenari complessi.
• Avvertenza per l'Industria: L'adozione diffusa del MCP senza adeguate contromisure di sicurezza espone le organizzazioni a rischi concreti di manipolazione dei dati, esfiltrazione di credenziali e esecuzione di codice non autorizzato.

In sintesi, il paper dimostra che mentre gli agenti LLM stanno diventando più capaci, la loro sicurezza negli ecosistemi di strumenti aperti è attualmente fragile, richiedendo un approccio di difesa più sofisticato rispetto alle attuali soluzioni.