Anthropic’s Model Context Protocol (MCP)の公式Gitサーバーであるmcp-server-gitに、3つのセキュリティ脆弱性がサイバーセキュリティ研究者により確認されました。
これらの脆弱性はプロンプトインジェクションを通じて悪用でき、ターゲットシステムへの直接アクセスなしにAIアシスタントを操作して、意図しない行動を実行させることができます。
これらの問題は2025年12月8日より前にリリースされたmcp-server-gitのすべてのバージョンに影響し、デフォルトインストールに適用されます。
脆弱性を発見したサイバーセキュリティ企業Cyataによると、脆弱性を発見した同社によれば、攻撃者がAIアシスタントが読むもの(悪意のあるREADMEファイル、汚染された問題の説明、または侵害されたウェブページなど)に影響を与えるだけで十分です。認証情報やシステムアクセスは必要ありません。
これらの脆弱性により、mcp-server-gitがファイルシステムMCPサーバーと一緒に使用される場合、攻撃者は任意のコードを実行でき、任意のファイルを削除でき、任意のファイルを大規模言語モデルのコンテキストにロードできます。脆弱性はデータを直接流出させるものではありませんが、機密ファイルがAIに露出する可能性があり、下流のセキュリティとプライバシーのリスクが生じます。
これらの発見はAnthropicの参照MCP実装に影響することが特筆に値します。
過去のMCP関連の問題は通常、異常な構成または安全でないデプロイメントに依存していました。この場合、Cyataは脆弱性が「そのまま」で機能することを発見し、現実世界での影響の可能性を高めています。
Anthropic脆弱性についてさらに詳しく読む: Claude Desktopエクステンション、ウェブベースのプロンプトインジェクションに脆弱
MCP設計がリスクを高める理由
MCPはAnthropicが2024年11月に導入したオープンスタンダードで、AIアシスタントがファイルシステム、API、データベース、Gitなどの開発者ユーティリティなどのツールと相互作用することを可能にします。MCPサーバーはブリッジとして機能し、大規模言語モデルによってなされた決定に基づいてリアルシステムアクションを実行します。
Cyataの研究により、mcp-server-gitはリポジトリパスを適切に検証したり、Gitコマンドに渡される引数をサニタイズしないことが示されました。
その結果、攻撃者はサーバーを設定で定義されたリポジトリだけでなく、システム上のあらゆるディレクトリで動作するよう指示できます。git_diffコマンドへのサニタイズされていない引数がある場合、攻撃者はファイルを上書きできます。その他の場合、git_initの不正使用により、ファイル削除が可能になり、またはファイル書き込み機能と組み合わせた場合、コード実行の準備ができます。
これらの脆弱性にはCVE-2025-68143、CVE-2025-68144、およびCVE-2025-68145が割り当てられました。Anthropicは9月にレポートを受け入れ、2025年12月に修正をリリースしました。
Cyataは影響を受けたユーザーに直ちにアップデートすることを推奨し、特にGitとファイルシステムアクセスの両方が有効になっている場合、環境でMCPサーバーがどのように組み合わされているかを確認することを推奨しました。
翻訳元: https://www.infosecurity-magazine.com/news/prompt-injection-bugs-anthropic/
