最近、AIの巨頭アンソロピックが開発・維持している業界標準の通信プロトコルであるモデルコンテキストプロトコル(Model Context Protocol、略称:MCP)が深刻なセキュリティ上の課題に直面しました。セキュリティ研究チームのOX Securityは報告書を発表し、このプロトコルがアーキテクチャの観点から根本的な設計上の欠陥を持っていることを指摘しました。これにより、サーバーが任意のコードを実行する(RCE)ように誘導される可能性があるとされています。現在までに10の「重大」レベルのCVE番号が関連付けられており、その数はさらに増加しています。

AIモデルと外部データソースとの通信を標準化することを目的としたオープンプロトコルであるMCPは、マイクロソフトやグーグルなどの大手企業から好まれて統合されていました。しかし、OX Securityが4月15日に行った調査で、この脆弱性は単なるコードミスではなく、公式SDKに深く根ざしていることが明らかになりました。これは、Python、TypeScript、Java、Rustなどで構築されたMCPプロジェクトすべてが影響を受け、リスクにさらされていることを意味します。

研究者たちは実験を通じて、4つの主要な攻撃経路をまとめました。それは、認証されていないUIインジェクション、セキュリティ強化の回避、プロンプトインジェクション、および悪意のあるプラグイン配布です。現在、LiteLLM、LangChain、IBM LangFlowなどの主流なオープンソースプロジェクトが重要な脆弱性を抱えており、実際に運用環境で利用されてしまいました。この発見は、急速に成長しているAIインフラ分野に大きな衝撃を与えました。

研究チームからのフィードバックに対し、アンソロピックの態度が業界内で議論を巻き起こしています。知られている通り、研究チームは複数回にわたってコミュニケーションを試み、その欠陥の修正を促しましたが、アンソロピック側は下位のアーキテクチャの変更を拒否し、「予期された設計」として返答しました。その後、相手の反対がないことを確認した上で、研究チームは公開に向けた研究成果を公表することを決定しました。これは、広範な開発者に注意を喚起するためです。

現在のリスクに対応するため、セキュリティ専門家はユーザーと開発者に対して緊急のアドバイスを提供しています。大規模言語モデルや関連するAIツールをパブリックネットワークに直接露出させないでください。MCPの入力データを取り扱う際には、信頼できない情報源として扱い、プロンプトインジェクション攻撃を防ぐ必要があります。また、MCPに基づくすべてのサービスは厳格なサンドボックス環境で動作することを推奨しており、関連するソフトウェアを最新に更新し、システム権限をできるだけ制限することが重要です。