9,695台のModel Context Protocol(MCP)サーバーを対象とした新たな分析により、人気度・活動量・認証バッジがセキュリティ上の欠陥に対する信頼できる防御にはならないことが判明しました。この分析では、2,259台の影響を受けるサーバーにわたって4,982件のセキュリティ問題が確認されています。
TrendAIは2025年11月から2026年3月にかけて、GitHub、Glama、Lobehub、PulseMCPという主要な4つのMCPディレクトリをクロールし、ディレクトリのメタデータと既知の脆弱性情報を照合しました。
確認された9,695台のユニークなサーバーのうち、5,832台に何らかのセキュリティ上の弱点が見つかりました。認証機能の欠如のみを理由にフラグが立てられた3,573台(それ単体では欠陥とは断定できないものの、悪化要因とみなされる項目)を除外した結果、確定的な問題を抱えるサーバーは2,259台となりました。
文書化された4,982件の問題は、幅広いカテゴリーに及んでいます。任意ファイルアクセスが880件で最多となり、続いてサービス拒否(DoS)が490件、コマンドインジェクションが476件、サーバーサイドリクエストフォージェリ(SSRF)が422件と続きました。
SQLインジェクションは211件、プロンプトインジェクションは185件、クロスサイトスクリプティングは155件、コードインジェクションは101件確認され、認可バイパスはわずか8件でした。
TrendAIはこれらを3つのリスクカテゴリーに分類しています。意図しないコーディングミスから生じる真正の脆弱性、認証の欠如といった「設計上脆弱」な問題、そしてプロンプトインジェクションのようなAIエージェントを直接狙う悪意ある挙動、の3種類です。
この調査では、ソフトウェアの信頼性に関するいくつかの一般的な思い込みを体系的に検証し、それらを覆す結果を示しています。
GitHubのスター数でサーバーをグループ分けしたところ、人気度とセキュリティとの間に有意な相関は見られませんでした。スター数の多いサーバーは、問題が発生した際に影響を受けるユーザーが多くなる分、単に「被害範囲」が広がるだけであることが分かりました。
コミット活動についても同様の傾向が見られ、より活発にメンテナンスされているサーバーが特別に安全というわけではありませんでした。一方で、コミット履歴が皆無のリポジトリ(おそらくフォークやミラー)は、上流のソースから欠陥をそのまま引き継いでいるため、平均問題件数が最も多いという結果になりました。
最も示唆的だったのは、認証済みサーバーの平均セキュリティ問題件数が、未認証サーバーとほぼ同水準だったという点です。これは、MCPディレクトリの認証バッジが安全性を示すという前提を直接的に覆すものです。
レポートでは、この危険性を裏付ける具体的な事例も紹介されています。ある開発者は、暗号資産・DeFi関連のMCPサーバーを40種類以上リリースしましたが、いずれのディレクトリからも認証を受けておらず、結果として13台のサーバーにわたって101件のセキュリティ問題が確認されました。
これらには、サーバー側での完全なコード実行を可能にしかねない、ニュース取得ツールにおけるサーバーサイドテンプレートインジェクションや、AIエージェントの挙動を直接改変できる、取引分析ツールにおけるプロンプトインジェクションが含まれていました。
別のプロバイダーが提供するオフィス自動化サーバーには、MCPツールがPythonのeval()関数を直接呼び出すコードインジェクションの欠陥が見つかったほか、100スター以上を獲得している文書処理サーバーにはパストラバーサルの脆弱性も確認されました。
本番環境のデータベース連携向けに設計された、ある商用エンタープライズミドルウェアベンダーのサーバーには、自然言語クエリ経由で悪用可能なSQLインジェクションの欠陥に加え、企業ネットワーク内での偵察行為や権限昇格を可能にしかねない、未認証のActive Directoryアクセスも確認されました。
問題は単発のコーディングミスというより、入力値検証における広範な不備を示唆する形で、しばしば連鎖して発生していました。たとえば、任意ファイルアクセスと認証欠如がセットで見つかるケースなどです。
MCPサーバーはAIエージェントをターミナル、データベース、ファイルへと接続する役割を担うため、たった1台の侵害されたサーバーが、エージェント主導のワークフロー全体を攻撃に晒す可能性があります。研究者たちは、組織に対してMCP連携における「デフォルトで信頼する」という考え方を捨てるよう推奨しています。
効果的な対策としては、サードパーティ製コードの導入前監査、認証と最小権限アクセスの徹底、入力値の厳格な検証、そして異常な挙動を検知するためのリアルタイムなトラフィック監視が必要になります。
翻訳元: https://cyberpress.org/4982-security-issues-expose-2259-public-mcp-servers-to-ai-agent-attacks/