Здорников Е. О.

ПОВЕДЕНЧЕСКОЕ ОБНАРУЖЕНИЕ АТАК И АНОМАЛИЙ В КОНТЕЙНЕРИЗОВАННЫХ MCP-СРЕДАХ: ПРОКСИ-ПОДХОД TRIDENT-MCP 

Резюме: Цель исследования. Разработать и протестировать лёгкий метод защиты MCP-сред от актуальных угроз, обеспечивающий блокировку утечек и вредоносных сценариев без вмешательства в семантическое ранжирование LLM и с минимальными накладными издержками. Материалы и методы. Предложен прокси-сервер TRIDENT-MCP, состоящий из трёх подсистем: MetaGuard (нейтрализация и анализ метаданных инструмента и его описания), ChainSentry (построение вероятностного профиля последовательностей вызовов и детерминированное отсечение подозрительных потоков) и InjectShield (нормализация внешнего контента и выявление смены планов под влиянием текста пользователя или сторонних источников). Эксперименты проводились на синтетически сгенерированном, но разнообразном наборе из 320 сессий (2600 MCP-запросов), где 65 % запросов были валидными и 35 % — потенциально вредоносными. Для оценки применялась 5-кратная перекрёстная валидация с бутстрэп-пересчётом 95 %-доверительных интервалов. Результаты. TRIDENT-MCP демонстрирует PR-AUC 0,94 и ROC-AUC 0,97, превосходя три базовые линии (статические правила, анализ последовательностей вызовов, анализ аргументов и контента); разброс метрик по перекрёстной валидации не превышает ±0,02. Абляционные эксперименты показывают вклад каждой подсистемы: ChainSentry даёт наибольший прирост за счёт детерминированного отсечения потоков; MetaGuard снижает эффект подталкивания к «маркетинговым» инструментам; InjectShield надёжно детектирует смену планов под влиянием внешнего текста. Агрегирующая политика риска монотонна и приоритизирует безопасные правила (Secret→External), что позволяет не пропускать критичные инциденты при сохранении низкого уровня ложных срабатываний. Накладные издержки остаются миллисекундными: при 30 RPS p50/p95 составляют ≈12/21 мс, CPU ≈31 %, RSS ≈118 МБ; при 5–20 RPS p95 ≤ 13,4 мс. Архитектура совместима с контейнерной оркестрацией и обеспечивает объяснимость (атрибуция снятых маркеров, редких переходов, изменения плана). Выводы (заключение). Предложенный прокси-подход TRIDENT-MCP защищает MCP-среду не по одному сигналу, а по трём простым и воспроизводимым проверкам: контрфактическая проверка описаний инструмента, тест согласованности намерений и формальное правило потоков Secret→External, обеспечивающее жёсткую гарантию блокировки утечек. Полученные результаты подтверждают, что метод даёт высокую точность детектирования атак и аномалий при низких накладных издержках и может быть практически применён в современных контейнеризованных MCP-средах.

Ключевые слова: MCP, контейнерная безопасность, поведенческий анализ, аномалии, LLM-агенты.

O. Zdornikov

BEHAVIORAL ATTACK AND ANOMAL Y DETECTION IN CONTAINERIZED MCP ENVIRONMENTS: THE TRIDENT-MCP PROXY APPROACH

Summary: Objective. To develop and evaluate a lightweight method for protecting MCP environments from current threats, providing leakage and attack prevention without interfering with LLM semantic ranking and with minimal overhead. Materi- als and methods. We propose the TRIDENT-MCP proxy server consisting of three subsystems: MetaGuard (neutralization and analysis of tool metadata and descriptions), ChainSentry (probabilistic profiling of call sequences and deterministic pruning of suspicious flows), and InjectShield (normalization of external content and detection of plan shifts under the influence of user or third-party text). Experiments were conducted on a synthetically generated yet diverse dataset of 320 sessions (2,600 MCP requests), where 65% of requests were valid and 35% were potentially malicious. Evaluation relied on 5-fold cross-validation with bootstrap-based recalculation of 95% confidence intervals. Results. TRIDENT-MCP achieves a PR-AUC of 0.94 and ROC-AUC of 0.97, outperforming three baselines (static rules, call-sequence analysis, and argument/content analysis); metric variance across cross-validation folds does not exceed ±0.02. Ablation studies quantify the contribution of each subsystem: ChainSentry provides the largest gain through deterministic pruning of flows; MetaGuard reduces the effect of nudging towards “marketing-oriented” tools; InjectShield reliably detects plan changes induced by external text. The aggregate risk policy is monotonic and prioritizes safety-preserving rules (Secret→External), which prevents critical incidents from being missed while maintaining a low false-positive rate. Proxy overhead remains in the millisecond range: at 30 RPS, p50/p95 latencies are ≈12/21 ms, CPU ≈31%, RSS ≈118 MB; at 5–20 RPS, p95 ≤ 13.4 ms. The architecture is compatible with container orchestration and provides explainability (attribution of removed markers, rare transitions, and plan changes). Conclusions. The proposed TRIDENT-MCP proxy-based approach protects MCP environments not via a single signal, but through three simple and reproducible checks: counterfactual validation of tool descriptions, an intent consistency test, and a formal Secret→External flow rule that gives a strong guarantee of leakage blocking. The obtained results demonstrate that the method delivers high attack and anomaly detection quality with low overhead and can be practically deployed in modern containerized MCP environments.

Keywords: MCP, container security, behavioral analysis, anomalies, LLM agents.

DOI: 10.34219/2078-8320-2025-16-4-159-165