AI規格「MCP」に構造的欠陥？ セキュリティ企業が指摘するもAnthropicは修正否定：セキュリティニュースアラート

OX Securityは、Anthropicが策定する規格「MCP」に設計起因の欠陥があると発表した。任意コマンド実行によってデータ流出の恐れがあり、脆弱なインスタンスは最大20万規模に及ぶと推計されている。各製品で修正が進んでいるが、規格レベルの課題が残存している。

[ITmedia エンタープライズ編集部，ITmedia]

　OX Securityは2026年4月15日（現地時間）、Anthropicが策定、維持するAIエージェント間通信規格「MCP」（Model Context Protocol）の中核に、重大かつ広範に影響する欠陥が存在すると発表した。研究によれば、この問題は、実装が不十分な環境において攻撃者による任意コマンド実行を可能にし、利用者データや内部データベース、APIキー、対話履歴などへの不正アクセスを招くおそれがある。

「仕様か、脆弱性か」――MCPを巡る、Anthropicとの見解相違

　同社が指摘する問題は一般的な実装ミスではなく、公式SDKの設計方針に由来する構造的課題とされる。Python、TypeScript、Java、Rustなど主要言語への実装に共通して組み込まれており、同規格を基盤に開発する多くのソフトウェアが影響を受ける可能性がある。開発者が特別な対応を取らない限り、この前提を引き継ぐ形になる点が指摘されている。

　影響範囲は広く、関連するソフトウェアのダウンロードは累計1億5000万件以上に達し、公開状態にあるサーバは7000以上、脆弱なインスタンスは最大20万規模に及ぶと推計される。研究チームは複数の攻撃経路を整理し、認証不要のUI操作による侵入、保護設定を回避する手法、利用者操作を伴わないプロンプト悪用、配布基盤を介した不正モジュールの混入などを挙げた。

　実証段階において、複数の稼働中プラットフォームでコマンド実行が成立したとされる。LLMを共通の形式で利用可能にするライブラリ「LiteLLM」や開発フレームワーク「LangChain」、AIワークフロー構築ツール「LangFlow」といった広く利用される開発ツールに関する問題も確認された。これらの結果は、AI関連ソフトウェアの供給網全体に波及する危険性を示唆している。

　これまでに10件以上の共通脆弱性識別子（CVE）が割り当てられ、幾つかの製品では修正が完了している。LiteLLMや「DocsGPT」などではアップデートがあり、特定の攻撃経路に対処した。他方で、UI操作を起点とする侵入やIDE（統合開発環境）経由のプロンプト悪用など、複数の製品で深刻な問題が存在している。

　対応を巡り、OX Securityは根本的な修正を提案したが、Anthropicは指摘の挙動を仕様上想定されたものと位置付け、規格自体は変更しない姿勢を示したとされる。研究結果の公表については異議は示されなかった。研究チームは30件以上の報告と多数の脆弱性識別子の発行を通じ、個別製品の改善に取り組んだものの、規格レベルの課題は残存していると説明している。

　同社は、AI関連技術の安全確保を掲げる取り組みが進む中で、設計段階から安全性を組み込む方針の必要性を指摘した。AIエージェントの連携が広がるほど、共通基盤の設計が全体の安全性に与える影響は大きくなるとみられる。

　対策としては、機密性の高いサービスをインターネットに公開しない構成、外部から取り込む設定情報を信頼しない運用、正規の配布元からのみコンポーネントを導入する方針、権限を制限した実行環境の採用などが挙げられる。またエージェントが呼び出す機能の監視や通信先の制御、最新バージョンへの更新も推奨されている。修正が未提供のサービスについては、利用者入力との接続を避けるなどの暫定措置が必要とされる。