概要
セキュリティ企業OX Securityの研究者が、AnthropicのModel Context Protocol(MCP)SDKに重大な設計上の欠陥を発見した。この脆弱性はSTDIOトランスポートインターフェースの「安全でないデフォルト設定」に起因し、攻撃者が任意のOSコマンドをリモートで実行(RCE)できる状態を作り出す。影響範囲は7,000件以上の公開アクセス可能なサーバーと1億5,000万件を超えるダウンロードに及び、AI統合エコシステム全体を標的にしたサプライチェーン攻撃のベクターとなりうると警告されている。
問題の核心は、MCPサーバーの起動に失敗した場合でも「エラーが返されつつもコマンドは実行される」という挙動にある。研究者らはGPT ResearcherのSTDIO MCPサーバー機能を調査する中でこの設計上の問題を特定し、根本原因がAnthropicの公式実装コード(modelcontextprotocol)に存在することを突き止めた。
技術的詳細と影響範囲
研究者チームは30件以上の責任ある情報公開プロセスを経て、合計11件の脆弱性(CVE)を発見した。主な対象は以下の通りで、複数はすでにパッチが適用されている。
- CVE-2026-30623(LiteLLM)— 修正済み
- CVE-2026-33224(Bisheng)— 修正済み
- CVE-2026-26015(DocsGPT)— 修正済み
- CVE-2026-40933(Flowise)
攻撃は四つの手法に分類される。(1) STDIO経由の未認証コマンドインジェクション、(2) ハードニング回避を伴うコマンドインジェクション、(3) ゼロクリックのプロンプトインジェクション攻撃、(4) ネットワーク経由で発火する隠れたSTDIO設定の悪用、である。脆弱性はPython・TypeScript・Java・Rustの各言語実装に及び、LiteLLM、LangChain、LangFlow、Flowise、LettaAIといった広く利用されるプロジェクトが影響を受けた。攻撃が成功した場合、ユーザーデータ、データベース、APIキー、チャット履歴などの機密情報が漏洩する恐れがある。
AnthropicとLangChainの対応と批判
AnthropicとLangChainはいずれも当初、この挙動を「想定される動作(expected behavior)」と主張し、「ユーザー許可が必要なため脆弱性ではない」という見解を示した。最終的にAnthropicはプロトコルアーキテクチャ自体を変更しない方針を表明し、代わりにセキュリティポリシーを更新してSTDIO MCPの慎重な使用を推奨するにとどまった。この決定は、セキュリティ対応の責任を実装者側に転嫁するものだと研究者らは強く批判している。
ESETのサイバーセキュリティアドバイザーはこの問題について、「AI対応サイバー犯罪の始まり」であり、新興技術に対する「能力優先、制御後発」のアプローチが根本的な問題だと指摘した。研究者らも「アーキテクチャの根本的欠陥がユーザーデータと組織インフラを危険にさらしている」と警鐘を鳴らしている。
推奨される緩和策
Anthropicが公表したセキュリティポリシーおよび研究者の提言として、以下の緩和策が推奨されている。
- センシティブなサービスへのパブリックIPアクセスをブロックする
- MCPツールの呼び出しを監視・ログに記録する
- MCPサービスをサンドボックス環境で実行する
- 外部からのMCP設定を信頼しないものとして扱う
- 検証済みソースからのみMCPをインストールする
今回の発見は、急速に普及するAIエージェント基盤がセキュリティ面で十分に検証されないまま広がっている現状を浮き彫りにした。プロトコル設計の段階から「セキュア・バイ・デフォルト」の原則を組み込むことの重要性が改めて問われている。