- Anthropicは、ツール連鎖によりリモートコード実行を可能にするGit MCPの欠陥を修正
- CyataがCVEを発見。バージョン2025.12.18で修正済み、現時点で悪用は報告されていない
- Claudeは以前、世界の主要組織を標的としたサイバー諜報キャンペーンで操作されていた
人気AIモデルClaudeを手がけるAnthropicは、同社のGit MCPサーバーに存在する複数のバグを修正した。研究者によれば、これらは他のMCPツールと連鎖させることで、プロンプトインジェクションを通じたリモートコード実行(RCE)やファイル改ざんを可能にし得るという。
Git MCPサーバーは、AIツールがGitリポジトリを読み取り、やり取りできるようにするAnthropicのModel Context Protocolサービスだ。これは、AIが実際のコードベースを理解したり、安全でない/無制限なアクセスを与えることなくコーディングの質問に答えたりできるようにするため、重要である。
バグはエージェント型AIのセキュリティスタートアップCyataによって発見され、内容は次のとおりだ。
パス検証の回避の欠陥(CVE-2025-68145)
制限のないgit_initの問題(CVE-2025-68143)
git_diffにおける引数インジェクション(CVE-2025-68144)。
12月に修正
研究者らは、Git MCPサーバーをFilesystem MCPサーバーと連鎖させることで、任意のコードをリモートで実行できたと述べた。
「エージェント型システムは、複数のコンポーネントが相互作用すると予期しない形で破綻します。各MCPサーバーは単体では安全に見えるかもしれませんが、このケースのようにGitとFilesystemの2つを組み合わせると、有害な組み合わせになります」とCyataはThe Registerに語った。
「組織が複数のツールや統合を備えた、より複雑なエージェント型システムを採用するにつれて、こうした組み合わせは増えていくでしょう。」
Cyataは昨年6月に欠陥を報告し、Anthropicは2025年12月に修正したと、The Registerは伝えている。ユーザーはバージョン2025.12.18を実行していることを確認すべきだ。現時点では、これらのバグが実環境で悪用されていた証拠はない。
人工知能は、業界全体に大きな変革をもたらすと期待されている。そのため企業は導入を急ぎ、さまざまな脆弱性が残され、異なるサイバー犯罪者がそれらを悪用できる状況が生まれている。
2025年11月中旬、AnthropicはClaudeが利用されていたと述べた。それは助言者としてだけでなく、エージェントとしてサイバー攻撃そのものの実行にも関与していたという。同社によれば、高度に洗練されたサイバー諜報キャンペーンがAnthropicのClaude Codeツールを操作し、およそ30の世界的標的への侵入を試みた。主な標的は大手テック企業、政府機関、金融機関だった。
