セキュリティ研究者は、モデルコンテキストプロトコル(MCP)における「重大で体系的な」脆弱性に警告を発してしており、これはAIサプライチェーンに大きな影響を与える可能性があります。
MCPはAnthropicによって作成された人気のあるオープンソース標準で、AIモデルが外部データおよびシステムに接続することを可能にします。
しかし、4月15日に発表されたレポートで、Ox Securityの研究者は、プロトコルの欠陥により脆弱なシステム上で任意のコマンド実行が可能になり、攻撃者に機密ユーザーデータ、内部データベース、APIキー、およびチャット履歴へのアクセスを与える可能性があると主張しました。
「これは従来のコーディングエラーではありません」とベンダーは警告しました。
「これはAnthropicの公式MCP SDKにPython、TypeScript、Java、およびRustを含むすべてのサポートされているプログラミング言語に組み込まれたアーキテクチャ設計上の決定です。Anthropic MCPの基盤上に構築している開発者は誰でも、知らず知らずのうちにこの露出を継承しています。」
この脆弱性により、200以上のオープンソースプロジェクト、1億5000万ダウンロード、7000以上の公開されているサーバー、合計で最大20万の脆弱なインスタンスが露出する可能性があると述べました。
MCPについて詳しく読む:数百のMCPサーバーがRCEとデータ漏洩のリスクにさらされている。
Ox Securityによると、エクスプロイトメカニズムはかなり単純です。
「MCPのSTDIOインターフェースはローカルサーバープロセスを起動するために設計されました。しかし、プロセスが正常に開始されたかどうかに関わらず、コマンドは実行されます」と説明しました。「悪意のあるコマンドを渡し、エラーを受け取ります。それでもコマンドは実行されます。サニタイゼーション警告なし。開発者ツールチェーンに赤信号なし。何もありません。」
実際、これは対象システムの完全な乗っ取りをもたらす可能性があります。
誰が責任がありますか?
Ox Securityは、Anthropicに脆弱性をパッチするよう繰り返し説得しようとしたと述べました。しかし、レポートによると、AI大手は、これは「想定された動作」だと述べました。
「Anthropicは、この動作は仕様によるものであり、プロトコルを変更することを拒否し、STDIOの実行モデルはセキュアなデフォルトを表し、サニタイゼーションは開発者の責任であると述べた」とOx Securityは述べました。
同社は、コードの保護を実行するインフラストラクチャの保護ではなく、開発者に責任を押し付けることは、コミュニティのセキュリティに関する実績を考えると危険であると主張しました。
その間、Ox Securityは30以上の責任ある開示を発行し、個別のオープンソースプロジェクトをパッチするのに役立つ、10以上の高度または致命的な重大度のCVEを発見しました。
Kevin Curran、IEEE上級会員およびアルスター大学のサイバーセキュリティ教授は、この研究は「基礎的なAIインフラストラクチャのセキュリティにおける衝撃的なギャップ」を明らかにし、研究者が正しいことをしたと述べました。
「私たちは、ますます機密性の高いデータと実際のアクションでこれらのシステムを信頼しています。AIエージェントを接続するためのプロトコルがこれほど脆弱で、その作成者がそれを修正しないのであれば、その上に構築しているあらゆる企業と開発者は、これを直ちに警告の声として扱う必要があります」と彼は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/systemic-flaw-mcp-expose-150/
