MCPはエージェント型AIの拡大に不可欠な存在となっていますが、独自の脆弱性も伴っています。
Model Context Protocol(MCP)は、Anthropicによって開発され、2024年にオープンスタンダードとして公開されました。これはAIエージェント(または複数のエージェント)とデータソース(または複数のソース)間で一貫性があり安全なインターフェースを確保するための事実上(絶対的ではない)の標準的手法です。MCPは、AIエージェントがツール、他のエージェント、データ、コンテキストと安全かつ監査可能な方法でやり取りする方法を規定しています。そのため、効果的なエージェント型AIには基本的な要件となっています。
しかし、すべてのソフトウェアと同様に、MCPにも悪意ある攻撃者に悪用されうる領域があります。今月、ChatGPTのカレンダー連携に対する潜在的な攻撃が報告されました。これにより、メールのカレンダー招待を使ってChatGPTにジェイルブレイクを仕掛けることができ、ユーザーの操作は一切不要です。
AI専門企業Adversaは、トップ25のMCP脆弱性の分析を公開しました。これは「これまでで最も包括的なMCP脆弱性の分析」とされています。
OWASPも独自のMCPトップテンを計画していることが知られていますが、これはまだ公開されておらず、おそらく10個の脆弱性に限定されるでしょう。AdversaはOWASPと競合するつもりはなく、現在エージェント型AIソリューションを開発・導入している企業に即時の支援を提供することを目的としています。「関連する場合はOWASP/CSA/NISTにマッピングし、この取り組みをOWASP MCPプロジェクトに正式に貢献する予定です」とAdversa AIの共同創業者兼CTOであるAlex Polyakov氏はSecurityWeekに語っています。
Adversaの基本的な脆弱性表には、推奨される「公式」名称(および一般的な別名)、影響度スコア、悪用可能性評価、追加の第三者による解説情報へのリンクが含まれています。影響度分類スコアは、クリティカル(システム全体の侵害またはRCE)から低(情報漏洩のみ)まで、悪用可能性レベルは、初歩的な知識(ブラウザへのアクセス以外に特別なスキル不要)で悪用できる「容易」から、理論上のみまたは国家レベルのリソースが必要な「非常に複雑」まであります。
ランキングは重み付けアルゴリズムによって算出されています:影響度40%+悪用可能性30%+普及度20%+対策の複雑さ10%。プロンプトインジェクションが依然として「完璧な嵐」であることは驚くことではありません。クリティカルな影響度と容易な悪用可能性を兼ね備え、脆弱性ランキングの1位となっています。あまり知られていないのは、MCP Preference Manipulation Attack(MPMA)で、影響度は低く悪用も非常に複雑ですが、24位にランクインしているものの、やはり脆弱性です。
「新たなインシデントやCVEが発生し即時の更新が必要な場合、または毎月、ドキュメントを更新する予定です」とPolyakov氏は説明します。追加の参考リンクについては、脆弱性の最初の説明へのリンクがデフォルトとなっています。ただし、これらのリンクは恒久的なものではありません。「より明確または厳密な情報源が現れた場合には『参考文献』を更新・拡充し、変更履歴に記録します」と付け加えました。
しかし、このドキュメントは脅威のカタログにとどまらず、実践的なセキュリティおよび緩和策のチェックリストも提供しています。「即時対応策」、『多層防御戦略』、『緩和策のタイムライン』が含まれています。
広告。スクロールして続きをお読みください。
即時対応策には「入力バリデーションは必須です ― MCPサーバーの43%がコマンドインジェクションに脆弱なのは言語道断です。すべての入力を検証・サニタイズしてください。」とあります。
防御戦略は4つの層からなります:プロトコルレベル、アプリケーションレベル、AI固有の防御策、インフラストラクチャ。例として「すべての通信でTLSを強制する」(プロトコルレベル)、「データベース操作にはパラメータ化クエリを使用する」(アプリケーションレベル)などがあります。
緩和策のタイムラインは3か月間にわたっており、「すべての公開エンドポイントに認証を実装する」(即時)から、「ゼロトラストモデルのためにアーキテクチャを再設計する」(3か月目)まで含まれています。
Adversaは、現在最も注目されているIT分野 ― 手動の人間知能から自動化された人工知能への転換 ― に影響を及ぼすMCP脆弱性の初の完全ガイドを作成しました。このガイドは、IT部門やセキュリティ部門が関わる複雑さの全体像を理解するのに役立つよう設計されています。
翻訳元: https://www.securityweek.com/top-25-mcp-vulnerabilities-reveal-how-ai-agents-can-be-exploited/