- Oxの研究者らがAnthropicのModel Context Protocolのシステマティックなリモートコード実行脆弱性を警告
- 脆弱性がPython、TypeScript、Java、RustのMCP SDKに組み込まれている
- 200,000以上のインスタンスが露出。Anthropicは動作は「想定内」と述べている
セキュリティ研究グループOxは、AnthropicのModel Context Protocol(MCP)に「重大でシステマティックな脆弱性」が含まれており、何十万ものインスタンスがリモートコード実行(RCE)のリスクにさらされていると主張しています。
一方、Anthropicはシステムが意図通りに動作していると述べたと言われています。
MCPはAIツールが外部データソースとアプリケーションに安全に接続できるようにする標準です。MCPはモデルにとって重要なコンポーネントです。なぜなら、これがなければ訓練されたデータにのみ依存できるからです。この標準はAI企業とAIツールを構築する開発者の両方に使用されており、OpenAIおよびDeepMindの製品、ならびにAnthropicの独自のClaudeアプリケーションで見られます。
記事は下に続きます
数百万が影響を受けている
Oxの研究者Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok、およびRoni Barは、MCPで発見したものは「従来のコーディングエラー」ではなく、「Python、TypeScript、Java、Rustを含むすべてのサポートされているプログラミング言語にわたるAnthropicの公式MCP SDKに組み込まれたアーキテクチャ上の設計決定」であると述べています。
「Anthropic MCPの基盤上に構築する開発者は誰でも、知らず知らずのうちにこの露出を引き継いでしまう」と彼らは警告しています。
Oxは、この脆弱性は様々な方法でトリガーされる可能性があると述べました。認証されていないUIインジェクションから「保護された環境」でのハードニング回避まで、そしてリーディングAI IDEのゼロクリックプロンプトインジェクションから悪意あるマーケットプレイス配布まで。
彼らは6つのライブプロダクションプラットフォームでコマンドを正常に実行し、「LiteLLM、LangChain、IBM’s LangFlowのような業界標準ツール」で重大な脆弱性を特定したと主張しています。
研究者らは7,000以上の公開アクセス可能なサーバーと最大200,000のインスタンスが現在脆弱性にさらされていると述べました。これまでのところ、10のCVEを発行し、バグの修正を支援しています。「しかし、根本原因はプロトコルレベルで未解決のままです。」
OxはまたAnthropicに連絡を取り、ルートパッチを推奨したと述べており、同社はMCPの動作は「想定内」であると述べたとのことです。
