Cyataによる新たな調査により、AnthropicのMCPを介してLLMをローカルデータに接続するサーバーの欠陥が悪用され、リモートコード実行および不正なファイルアクセスが可能になることが明らかになった。
3つの欠陥はいずれも、Anthropicが保守する公式Git MCPサーバー(mcp-server-git)で特定され、攻撃者が制御する引数を用いたプロンプトインジェクションによって悪用可能だった。
Cyataは「MCPサーバーはLLMの判断に基づいてアクションを実行し、LLMはプロンプトインジェクションによって操作され得る」と説明した。「AIのコンテキストに影響を与えられる悪意ある行為者は、攻撃者が制御する引数でMCPツール呼び出しを引き起こせる。」
CVE-2025-68143、CVE-2025-68145、CVE-2025-68144として追跡されているこれらのバグは、Git MCPサーバーが攻撃者から提供される特定の引数を検証またはサニタイズできていなかったために存在していた。
Cyataは「これらの欠陥はプロンプトインジェクションを通じて悪用可能であり、つまりAIアシスタントが読む内容(悪意あるREADME、汚染されたIssueの説明、侵害されたウェブページ)に影響を与えられる攻撃者は、被害者のシステムへ直接アクセスすることなく、これらの脆弱性を武器化できる」と述べた。
同社の研究者は示し、攻撃者がこれらの脆弱性を悪用して任意のコード実行、ファイルの読み取り、ファイルの削除を行えること、そしてこの攻撃があらゆる構成に対して成立することを明らかにした。
このサイバーセキュリティ企業は、2025年6月および7月に最初にこれらの問題をAnthropicへ報告した。
ベンダーは12月に、mcp-server-gitのバージョン2025.12.18で3つすべての脆弱性を解消した。
翻訳元: https://www.securityweek.com/anthropic-mcp-server-flaws-lead-to-code-execution-data-exposure/
