Tool Supply Chain Attackとは
Tool Supply Chain Attackとは、AIエージェントが使うツールの発見、説明、実装、呼び出し経路を悪用する攻撃です。APIやMCPツールを、AIが外部委託先のように使うほど、その道具箱自体がリスクになります。
ツール名・説明・呼び出し権限を疑う
AIがツールを呼び出すとき、人間のようにコードを全部読んで判断しているわけではありません。ツール名、説明文、引数、過去の実行結果、権限設定を手がかりにします。そこが操作されると、Tool HijackingやMCP Tool Poisoningのように、正しくない道具を選ばせたり、不要な権限で実行させたりする余地が生まれます。
導入時は、Function callingやMCP連携を「接続できたら完了」にしないことが大切です。ツール登録の承認、説明文の変更履歴、呼び出しログ、権限の最小化を一緒に見る。Agentic Runtime Supply Chainの中では、データ側とは別に、ツール側の供給網を守る領域として考えると整理しやすくなります。
TopicAIにはツールのメタデータも「判断材料」になる
WebMCP Tool Surface Poisoningの研究では、ツール名、説明、readOnlyHint、inputSchemaのようなメタデータがAIの認識に影響する点が扱われています。人間には設定欄に見える情報でも、AIにとっては「この道具は何をするか」を決める手がかりです。
Tool Supply Chain Attackに関するよくある質問
- MCPを使わなければ関係ありませんか?
- MCPに限りません。AIが外部APIや業務ツールを選んで呼び出す設計なら、同じ観点の確認が必要です。
- ツール説明文の管理はなぜ必要ですか?
- AIは説明文を手がかりに道具の役割を判断します。説明が変わると、呼び出し判断も変わる可能性があります。
