WebMCP en security: de open vragen waar de W3C-groep aan werkt
Manipulatie van agent-gedrag via tool-descriptions en cross-origin tool-chaining zijn open onderzoeksvragen, geen opgeloste problemen. Wat verzekeraars en corporates nu moeten weten.
Wie WebMCP zakelijk overweegt, moet twee open securityvragen kennen. Eén: tool-description-manipulatie. De beschrijving van een tool is input voor het taalmodel van de agent; een kwaadwillende site kan in die beschrijving instructies verstoppen die het gedrag van de agent proberen te sturen (een vorm van prompt injection). Twee: cross-origin tool-chaining, waarbij tools van verschillende sites in één agent-sessie gecombineerd worden en data of acties kunnen weglekken over site-grenzen heen.
Belangrijk om eerlijk te zijn over de status: dit zijn open vragen die de W3C-groep actief onderzoekt, geen afgevinkte risico's. Wie je vertelt dat dit 'geregeld' is, overdrijft. Wie je vertelt dat je daarom moet wachten, mist dat je de risico's grotendeels zelf kunt begrenzen door je tools goed te ontwerpen.
Wat je nu concreet kunt doen: houd tools klein en expliciet (één duidelijke actie, strikte input-schema's met enums in plaats van vrije tekst), laat elke tool binnen de ingelogde sessie en het bestaande permissiemodel draaien, en behandel de agent als een onvertrouwde client, precies zoals je een browser behandelt. Voor transacties met impact: bevestiging door de gebruiker als expliciete stap in de flow.
En schrijf je tool-descriptions als publieke, feitelijke tekst, niet als instructiekanaal. Beschrijf wat de tool doet en retourneert; probeer niet via de description het gedrag van de agent te sturen. Zo blijf je aan de goede kant van precies het mechanisme dat de W3C-groep als risico onderzoekt.