サイバーセキュリティ研究者は、人工知能(AI)企業AnthropicのModel Context Protocol(MCP)Inspectorプロジェクトにおいて、リモートコード実行(RCE)を引き起こし、攻撃者がホストへの完全なアクセスを得る可能性のある重大なセキュリティ脆弱性を発見しました。
この脆弱性はCVE-2025-49596として追跡されており、CVSSスコアは最大10.0のうち9.4です。
「これはAnthropicのMCPエコシステムにおける最初の重大なRCEの一つであり、AI開発者ツールに対する新たなブラウザベースの攻撃のクラスを露呈しています」とOligo SecurityのAvi Lumelskyは、先週公開したレポートで述べています。
「開発者のマシンでコードが実行されると、攻撃者はデータを盗み、バックドアを設置し、ネットワーク内を横断的に移動できるため、MCPに依存するAIチーム、オープンソースプロジェクト、企業導入者にとって深刻なリスクが浮き彫りになります。」
MCPは、Anthropicによって2024年11月に導入された、LLM(大規模言語モデル)アプリケーションが外部データソースやツールとデータを統合・共有する方法を標準化するオープンプロトコルです。
MCP Inspectorは、MCPサーバーのテストやデバッグのための開発者ツールであり、プロトコルを通じて特定の機能を公開し、AIシステムが学習データ以外の情報にアクセス・操作できるようにします。
このツールは、テストやデバッグのためのインタラクティブなインターフェースを提供するクライアントと、Web UIをさまざまなMCPサーバーに橋渡しするプロキシサーバーの2つのコンポーネントで構成されています。
ただし、重要なセキュリティ上の注意点として、このサーバーはローカルプロセスを起動する権限を持ち、任意のMCPサーバーに接続できるため、信頼できないネットワークに公開すべきではありません。
さらに、開発者がローカル版のツールを立ち上げる際のデフォルト設定には、認証や暗号化が欠如しているなど「重大な」セキュリティリスクがあるため、新たな攻撃経路が生まれるとOligoは指摘しています。
「この設定ミスにより、ローカルネットワークやパブリックインターネットにアクセスできる誰もが、これらのサーバーとやり取りし、悪用できる可能性が生じ、重大な攻撃対象領域が生まれます」とLumelskyは述べています。
この攻撃は、現代のWebブラウザに影響を与える既知のセキュリティ欠陥「0.0.0.0 Day」と、Inspector(CVE-2025-49596)におけるクロスサイトリクエストフォージェリ(CSRF)脆弱性を組み合わせることで成立し、悪意あるウェブサイトを訪問するだけでホスト上で任意のコードを実行できます。
「MCP Inspectorのバージョン0.14.1未満は、Inspectorクライアントとプロキシ間の認証がないため、リモートコード実行の脆弱性があります。これにより、認証されていないリクエストでstdio経由でMCPコマンドを実行できます」とMCP Inspectorの開発者は、CVE-2025-49596に関するアドバイザリで述べています。
0.0.0.0 Dayは、悪意あるウェブサイトがローカルネットワークを突破できるようにする、現代のWebブラウザに存在する19年前からの脆弱性です。これは、ブラウザがIPアドレス0.0.0.0を安全に処理できないことを悪用し、コード実行につながります。
「攻撃者は、悪意あるウェブサイトを作成し、MCPサーバー上で動作するlocalhostサービスへリクエストを送信することで、この脆弱性を悪用し、開発者のマシン上で任意のコマンドを実行できるようになります」とLumelskyは説明しています。
「デフォルト設定がMCPサーバーをこの種の攻撃にさらしているという事実は、多くの開発者が知らず知らずのうちに自分のマシンにバックドアを開いている可能性があることを意味します。」
具体的には、概念実証(PoC)はServer-Sent Events(SSE)エンドポイントを利用し、攻撃者が制御するウェブサイトから悪意あるリクエストを送信することで、ツールがlocalhost(127.0.0.1)で待ち受けている場合でもRCEを達成します。
これは、IPアドレス0.0.0.0が、オペレーティングシステムにそのマシンに割り当てられた全てのIPアドレス(ローカルループバックインターフェース=localhostを含む)で待ち受けるよう指示するため、可能となります。
仮想的な攻撃シナリオでは、攻撃者が偽のウェブページを用意し、開発者をそのページに誘導すると、ページに埋め込まれた悪意あるJavaScriptが0.0.0.0:6277(プロキシのデフォルトポート)にリクエストを送り、MCP Inspectorプロキシサーバーに任意のコマンドを実行させます。
この攻撃はまた、DNSリバインディング技術を利用して、0.0.0.0:6277や127.0.0.1:6277を指す偽のDNSレコードを作成し、セキュリティ制御を回避してRCE権限を得ることも可能です。
2025年4月の責任ある情報公開を受け、この脆弱性はプロジェクト管理者によって6月13日にバージョン0.14.1のリリースで修正されました。修正では、プロキシサーバーにセッショントークンが追加され、オリジン検証が組み込まれ、攻撃経路が完全に塞がれました。
「localhostサービスは安全に見えるかもしれませんが、ブラウザやMCPクライアントのネットワークルーティング機能により、しばしばパブリックインターネットにさらされています」とOligoは述べています。
「今回の対策では、これまでデフォルトで欠如していたAuthorizationが追加され、さらにHTTPのHostおよびOriginヘッダーの検証も行われるようになり、クライアントが本当に既知で信頼できるドメインからアクセスしているかを確認します。これにより、サーバーはデフォルトでDNSリバインディングやCSRF攻撃をブロックするようになりました。」
翻訳元: https://thehackernews.com/2025/07/critical-vulnerability-in-anthropics.html