セキュリティ報告書により、AI開発者コミュニティで緊張感が高まっている。

サイバーセキュリティ企業OX Securityは4月15日に調査レポートを公開し、AnthropicのMCP(モデルコンテキストプロトコル)にアーキテクチャ上の設計欠陥があることを明らかにした。この脆弱性はリモートコード実行を可能にし、20万台以上のAIサーバーに影響を与える。

MCPは2024年11月にAnthropicがリリースしたオープンソースの標準であり、AI大規模モデルがさまざまな外部データやツールとスムーズに接続・操作できるようにするためのものである。現在では多くの開発者がAIアプリケーション構築に利用している。

image.png

問題の原因はMCP SDKのSTDIOインターフェースに隠れている。このインターフェースは本来、ローカルサーバープロセスを起動するために設計されていたが、下位の実行論理には深刻なリスクが存在している。OSのコマンドを任意に実行してしまうため、サーバー起動が失敗してもエラーが返されても、コマンドは実行され、検証も警告も行われない。OX Securityは明確に指摘しているが、これはコードレベルでのミスではなく、アーキテクチャ設計における決定的な問題である。

脆弱性の影響範囲は広く、Anthropicが公式にサポートしているすべての11種類のプログラミング言語に及んでおり、Python、TypeScript、Java、Go、Rustなどの主流言語が含まれる。MCPを基盤に構築されたすべての開発者は、自動的にこのリスクを引き受けることになる。

OX Securityは数か月にわたって、4つの攻撃方法を現実環境で検証した。LangFlowプラットフォームには915個の公開インスタンスがあり、攻撃者はアカウントなしでもセッショントークンを取得し、完全な制御権を得ることができる。Letta AIでは中間者攻撃が発生し、研究者は直接生産サーバーで任意のコマンドを実行した。Flowiseのホワイトリストフィルタリングは簡単に回避された。最も深刻なのはWindsurf IDEの脆弱性で、ユーザーが悪意のあるウェブサイトにアクセスするだけで、クリックすることなくローカルで任意のコマンドを実行されてしまう。この脆弱性はCVE番号を獲得している。

Anthropicは今年1月7日に脆弱性の通報を受けた後、「予期される動作」として対応した。9日後には安全文書を更新し、開発者にSTDIOアダプタの使用に注意するよう提示したが、アーキテクチャレベルでの変更は一切行っていない。

研究者らは11の主要なMCP市場に悪意のあるサーバーをアップロードしてテストを行ったが、そのうち9つは直接通過し、何のセキュリティ審査も受けなかった。GitHubのマネージドレジストリのみが提出をブロックした。