Anthropicの公式Model Context Protocol(MCP)に組み込まれた設計欠陥(または誰が説明するかによって、悪い設計選択に基づく予想される動作)により、最大20万台のサーバーが完全な侵害のリスクにさらされていると、セキュリティ研究者は述べています。
Ox研究チームは、ルートの問題にパッチを当てるようAnthropicに「繰り返し」要求したと述べており、MCPを使用する個別のオープンソースツールとAIエージェントに対して発行されている10個(これまで)の高~極度の重要度CVEにもかかわらず、プロトコルは正常に機能していると繰り返し言われました。Oxによると、ルートパッチは1億5000万ダウンロード以上のソフトウェアパッケージ全体のリスクを軽減し、数百万のダウンストリームユーザーを保護することができたはずです。
Anthropicは「プロトコルのアーキテクチャを変更することを拒否し、その動作は『予想される』と述べた」とOx研究者Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok、およびRoni Barは述べています。2025年11月に始まり、30以上の責任ある開示プロセスを含む彼らの研究についてのブログです。
Anthropicへの初期報告から1週間後、AI供給業者は静かに更新されたセキュリティポリシーをリリースしました。AIバグに直面する際のパターンのようです。更新されたガイダンスは、特にSTDIO MCPアダプターは注意深く使用すべきだと、チームはその後の30ページのペーパー [PDF]に書きました。「この変更は何も修正しませんでした」と彼らは付け加えました。
AnthropicはこのストーリーについてThe Registerの問い合わせに応答しませんでした。
セキュリティ専門家によると、ルートの問題はMCPに存在しており、これはAnthropicによって元々開発されたオープンソースプロトコルであり、LLM、AIアプリケーション、およびエージェントが外部データ、システム、および互いに接続するために使用します。プログラミング言語全体で動作します。つまり、Python、TypeScript、Java、Rustを含む任意のサポートされている言語全体でAnthropicの公式MCPソフトウェア開発キットを使用している開発者は、この脆弱性を継承しています。
MCPはSTDIO(標準入出力)をローカルトランスポートメカニズムとして使用して、AIアプリケーションがMCPサーバーをサブプロセスとして生成します。「しかし実際には、誰でも任意のOSコマンドを実行することができます。コマンドが正常にSTDIOサーバーを作成すればハンドルを返しますが、異なるコマンドが与えられると、コマンドの実行後にエラーを返します」とOx研究者は書きました。
このロジックを悪用すると、4つの異なるタイプの脆弱性につながる可能性があります。
すべての道がRCEに通じます
最初のタイプの脆弱性である認証されていないコマンド注入と認証済みコマンド注入は、攻撃者が認証またはサニテーションなしにサーバー上で直接実行されるユーザーが制御するコマンドを入力することができます。これにより、システム全体の侵害につながる可能性があり、公開されたUIを持つAIフレームワークは脆弱です。
脆弱なプロジェクトには、研究者によるとIBMのオープンソースの低コードフレームワークであるLangFlowのすべてのバージョンが含まれており、AIアプリケーションとエージェントを構築するためのものです。彼らは1月11日にLangFlowにこの問題を開示したと述べており、CVEは発行されていません。
また、深い研究のために設計されたオープンソースAIエージェントであるGPT Researcherにも影響を与えます。パッチはまだありませんが、このプロジェクトにはCVEトラッカー(CVE-2025-65720)があります。
2番目の攻撃ベクトルである硬化バイパス付きの認証されていないコマンド注入は、悪党が開発者によって実装された保護とユーザー入力のサニテーションをバイパスしてサーバー上で直接コマンドを実行することを可能にします。
UpsonicとFlowise(GHSA-c9gw-hvqq-f33r)の両方は、「python」、「npm」、「npx」などの特定のコマンドのみを実行できるようにすることで、コマンド注入に対して硬化しています。理論的には、「command」パラメータを通じて直接コマンドを送信することは不可能であるはずです。
そしてしかし?「許可されたコマンドの引数を介して間接的にコマンドを注入することで、この動作をバイパスすることができました。例えば-‘npx -c <command>,’」とOxチームは書きました。
3番目のタイプの脆弱性は、Windsurf、Claude Code、Cursor、Gemini-CLI、GitHubコパイロットなどのAI統合開発環境(IDE)とコーディングアシスタント全体でゼロクリックプロンプト注入を可能にします。
ただし、このクラスの脆弱性に対処する唯一の発行されたCVEはWindsurf(CVE-2026-30615)のためのものです。これは、ユーザーのプロンプトがユーザー操作なしでMCP JSON構成に直接影響を与えるという点で唯一の真のゼロクリック脆弱性です。
他のすべてのIDEとベンダー(GoogleとMicrosoftとAnthropicを含む)は、これは既知の問題であるか、ファイルを変更するために明示的なユーザー許可が必要なため、有効なセキュリティ脆弱性ではないと述べました。
最後に、4番目の脆弱性ファミリーはMCPマーケットプレイスを通じて提供される可能性があり、脅威ハンターはこれらのマーケットプレイスの11個のうち9個を「正常に毒殺した」と述べています。ただし、空のファイルを生成するコマンドを実行するプルーフオブコンセプトMCPを使用しており、マルウェアではありません。
「私たちの提出を受け入れたマーケットプレイスには、数十万の月間訪問者を持つプラットフォームが含まれています」とセキュリティショップは書きました。「これらのディレクトリのいずれかの単一の悪意のあるMCPエントリーは、検出前に数千の開発者によってインストールされる可能性があります。各インストールは攻撃者に開発者のマシン上での任意のコマンド実行を与えます。」
Oxは、Anthropicが「デフォルトでMCPを安全にする」能力と責任があると主張しています。
「プロトコルレベルでの1つのアーキテクチャ変更は、今日MCPに頼っているすべてのダウンストリームプロジェクト、すべての開発者、およびすべてのエンドユーザーを保護していたでしょう」と研究者は書きました。「それがスタックを所有することの意味です。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/
