该论文研究了WebMCP协议中的一种新型安全威胁——会话中工具注入（Mid-Session Tool Injection, MSTI）。WebMCP是一种新兴协议，允许网站直接将工具暴露给AI智能体，绕过传统用户界面，从而带来新的安全风险。当涉及第三方脚本时，智能体可访问工具的动态暴露进一步扩大了Web会话的攻击面。论文识别出攻击者可利用第三方脚本在活跃会话期间注入恶意工具的MSTI攻击，并根据操纵阶段和目标将其分为两类：工具劫持（Tool Hijacking）和工具框架（Tool Framing）。工具劫持通过AbortSignal API或工具注册期间的竞态条件修改智能体可见的工具集；工具框架则通过工具名称、描述、readOnlyHint和inputSchema等元数据字段影响智能体对工具角色的感知。作者实现了两种攻击的有效演示，表明它们能够成功破坏WebMCP的预期功能。基于实验结果，论文提出了潜在的缓解方向和安全性设计建议，包括将工具身份绑定到其来源、确保生命周期一致性、对第三方工具实施数据边界限制，以及维护工具注册和调用的可追溯日志。这些发现表明，MSTI源于WebMCP独特的工具生命周期和结构化元数据，使得工具表面本身成为一个新兴的安全问题。