OX Securityの研究者たちは、AnthropicのModel Context Protocol (MCP)のアーキテクチャに直接組み込まれた重大で構造的な脆弱性を発見しました。AI エージェント通信の業界標準として、この根本的な欠陥はシステムを任意のコマンド実行(RCE)にさらしています。
この脆弱性を悪用する攻撃者は、影響を受けたMCP実装を完全に制御し、内部データベース、機密ユーザーデータ、チャット履歴、およびAPIキーへの直接アクセスを獲得できます。
巨大なサプライチェーンの被害範囲
この問題は単純なコーディングエラーではなく、アーキテクチャの設計選択に起因しているため、Python、Rust、Java、TypeScriptを含むすべてのサポート言語にわたるAnthropicの公式MCP SDKに影響します。
このプラットフォームの上に構築する開発者は、知らず知らずのうちにそのリスクを継承しています。被害範囲は巨大で、1億5000万以上のダウンロード、7,000の公開サーバー、および世界中で最大200,000の脆弱なインスタンスを持つソフトウェアサプライチェーンに影響しています。
研究者たちはこの欠陥の4つの主要な悪用方法を特定しました。攻撃者は、人気のあるAIフレームワークで認証されていないUI注入を実行したり、Windsurf、Cursorなどの主要なAI IDEで zero-click プロンプト注入を展開したり、マーケットプレイス経由での悪意のあるパッケージ配布を行うことができます。
さらに、脅威アクターはFloweiseなどの保護された環境でセキュリティ強化対策を迂回し、リモートコマンドを実行できます。
この構造的な欠陥により、主要なAI製品にわたって少なくとも10のCVEが発行されました。RCEにつながる重大な認証なしのUI注入欠陥がGPT Researcher(CVE-2025-65720)、Agent Zero(CVE-2026-30624)、Fay Framework(CVE-2026-30618)、Langchain-Chatchat(CVE-2026-30617)、およびJaaz(CVE-2026-33224)で報告されています。
幸いなことに、LiteLLM(CVE-2026-30623)とBisheng(CVE-2026-33224)では重大な認証済み脆弱性が既にパッチされています。
その他の注目すべき問題には、Windsurf(CVE-2026-30615)における重大なゼロクリック プロンプト注入、DocsGPT(CVE-2026-26015)のパッチされたトランスポートタイプ置換脆弱性、およびUpsonic(CVE-2026-30625)の高深刻度ホワイトリスト迂回が含まれます。
ベンダーの対応と必要な軽減策
広範なリスクとOX Securityからの30以上の責任ある情報開示にもかかわらず、Anthropicはプロトコルのアーキテクチャを修正することを拒否しました。
同社は、現在の動作は「予期されたもの」であると述べています。個々のプロジェクトは積極的にツールにパッチを当てていますが、根本的なアーキテクチャ上の原因はプロトコルレベルでは対処されていません。
MCP対応サービスを使用している組織は、環境を保護するための即座のアクションを取る必要があります:
- 敏感なサービスへのパブリックIPアクセスをブロックし、AIイネーブラーと研究ツールをパブリックインターネットから遠ざけます。
- 無許可のコマンド実行を防ぐために、すべての外部MCP設定入力を完全に信頼できないものとして扱います。
- 公式MCPディレクトリからのみサーバーをインストールし、悪意のあるパッケージとタイポスクワッティング攻撃を回避します。
- すべてのMCP対応サービスを分離されたサンドボックス内で実行し、完全なディスクアクセスとデータベース権限を制限します。
- ツール呼び出しを密接に監視して、予期しないバックグラウンドアクティビティまたはデータ流出の試みを検出します。
- 影響を受けたサービスを直ちにアップグレードするか、信頼性の高いパッチがリリースされるまでユーザー入力の公開を無効にします。
翻訳元: https://gbhackers.com/critical-flowise-flaw-enables-remote-command-execution/
