AI開発アシスタントに対してドキュメンテーションを提供するために広く使用されているツール「Context7 MCP Server」に影響を与える重大な脆弱性がセキュリティ研究者によって開示されました。
ContextCrushと呼ばれるこの問題は、攻撃者が信頼できるドキュメンテーションチャネルを通じてAI開発ツールに悪意のある命令を注入することを可能にする可能性があります。
この欠陥はNoma Labs研究者によってUpstashが運営するContext7プラットフォームで発見されました。Context7は開発者がCursor、Claude Code、WindsurfなどのAIアシスタントに統合開発環境内で直接最新のライブラリドキュメンテーションを提供するために使用されています。
約50,000のGitHubスターと800万以上のnpmダウンロードにより、このサーバーはAI支援開発ワークフローの一般的なコンポーネントになっています。
ContextCrush脆弱性の仕組み
この問題はプラットフォームの「カスタムルール」機能に由来しています。これはライブラリメンテナーがAI固有の命令を提供して、アシスタントがドキュメンテーションをより良く解釈できるようにするものです。研究者は、これらの命令がフィルタリングやサニタイゼーションなしに正確に送信されていることを発見しました。
命令が信頼できるMCPサーバーを通じて送信されたため、AIエージェントはそれらを正当なガイダンスとして解釈し、開発者のマシンで利用可能な権限で実行することができました。
AI供給チェーンセキュリティについて詳しく読む:多くの「シャドウレイヤー」組織がサプライチェーン攻撃に被害を受ける
実際には、これは攻撃者がドキュメンテーションレジストリ内に悪意のあるルールを埋め込み、Context7のインフラストラクチャに依存して開発者のAIツールに配布することができることを意味していました。攻撃は被害者のシステムとの直接的な相互作用を必要としませんでした。
研究者は典型的な攻撃チェーンを概説しました:
-
Context7上のGitHubアカウントを使用して新しいライブラリを登録します
-
カスタムルールセクションに悪意のある命令を挿入します
-
開発者がAIコーディングアシスタント経由でライブラリをクエリするのを待ちます
トリガーされると、注入された命令はAIアシスタントに既存のシステムアクセスを使用して有害なアクションを実行させる可能性があります。
実証された影響とセキュリティの懸念
テスト中に、研究者は汚染されたライブラリエントリが開発環境を侵害する方法を実証しました。
AIアシスタントには、機密の.envファイルを検索し、その内容を攻撃者制御のリポジトリに送信し、クリーンアップタスクを実行する口実の下でローカルファイルを削除するよう指示されました。コマンドが正当なドキュメンテーションと一緒に提供されたため、AIエージェントはそれらを区別する信頼できる方法がありませんでした。
セキュリティアナリストは、MCPサーバーのアーキテクチャが固有の信頼の問題を作成することを警告しています。ユーザー生成コンテンツを集計し、信頼できるチャネルを通じてそれを配信するツールは、意図せずにドキュメンテーションをAIエージェント用の実行可能な命令に変換することができます。
Noma Labs研究者はまた、GitHubの評判、人気ランキング、信頼スコアなどの信号は操作される可能性があり、悪意のあるライブラリが信頼できるように見えるようにする可能性があることを強調しました。
2月18日の開示に続いて、Upstashは翌日から修復を開始し、2月23日に修正を展開して、ルールのサニタイゼーションとプラットフォーム用の追加セーフガードを導入しました。この欠陥が実際の攻撃で悪用されたという証拠はありません。
翻訳元: https://www.infosecurity-magazine.com/news/contextcrush-ai-development-tools/
