TokyoBlackHatNews

gbhackers.com 4分で読了

Anthropicの重大な脆弱性によるリモートコード実行を可能にするMCPへの攻撃

Anthropicのモデルコンテキストプロトコル(MCP)で発見された重大で体系的な脆弱性は、1億5000万以上のダウンロードと最大20万台のサーバーを完全な乗っ取りにさらしており、2026年4月15日に発表されたOX Security Research チームの調査によるものです。

この脆弱性により、脆弱なMCP実装を実行しているあらゆるシステム上で任意のリモートコード実行(RCE)が可能になり、攻撃者は機密ユーザーデータ、内部データベース、APIキー、チャット履歴にアクセスできます。

従来のソフトウェア脆弱性とは異なり、これはコーディングエラーではありません。研究者たちは、これをPython、TypeScript、Java、Rustを含むすべてのサポートプログラミング言語にわたってAnthropicの公式MCP SDKに直接組み込まれたアーキテクチャ設計上の決定として特定しました。

MCP上に構築するあらゆる開発者は、サプライチェーンを通じてこの露出を無知のうちに引き継いでいます。

膨大な影響範囲

OX Securityの調査により特定された4つの異なるエクスプロイテーションファミリー:

  • 認証なしUIインジェクション 一般的なAIフレームワークにおいて
  • 強化バイパス Flowiseのような保護されているはずの環境において
  • ゼロクリックプロンプトインジェクション Windsurfおよびカーソルを含むAI IDEを対象として
  • 悪意のあるマーケットプレイス配布、11個のMCPレジストリのうち9個が悪意のあるテストペイロードで正常に汚染されました

研究者たちは6つのライブプロダクションプラットフォーム上でのコマンド実行の成功を確認し、LiteLLM、LangChain、IBMのLangFlowの重大な脆弱性を特定しました。

この調査により、少なくとも10個のCVEが生成され、そのうちのいくつかは重大として評価されています。影響を受けた主要製品は以下の通りです:

  • CVE-2026-30615 — Windsurf:ゼロクリックプロンプトインジェクション、ローカルRCEにつながる(重大、報告済み)
  • CVE-2026-30623 — LiteLLM:JSONコンフィグ経由の認証済みRCE(重大、パッチ済み)
  • CVE-2026-30617 — Langchain-Chatchat:認証なしUIインジェクション(重大、報告済み)
  • CVE-2025-65720 — GPT Researcher:UIインジェクションとリバースシェル(重大、報告済み)
  • CVE-2026-30618 — Fay Framework:認証なしWeb-GUI RCE(重大、報告済み)

OX SecurityはAnthropicに対して数百万人のダウンストリームユーザーを即座に保護したであろうルートレベルのパッチに関する複数の提案をしました。Anthropicは拒否し、その動作を「予想される」と説明したと報告されています。

Image

研究者たちはその後、公開する意図についてAnthropicに通知し、異議は唱えられませんでした。

30以上の責任あるディスクロージャーと10以上の高度/重大なCVEが提出されたにもかかわらず、根本原因はプロトコルレベルでは未対応のままです。

組織が今すべきこと

  • 機密APIおよびデータベースに接続されたAIサービスへのパブリックインターネットアクセスをブロックしてください。
  • すべての外部MCP構成入力を信頼されていないものとして扱い、生ユーザー入力がStdioServerParametersまたは類似の関数に到達しないようにしてください。
  • 公式GitHub MCPレジストリなどの検証されたソースからのみMCPサーバーをインストールしてください
  • MCP対応サービスを制限された権限でサンドボックス化された環境内で実行してください。
  • すべてのツール呼び出しを監視して、予期しないバックグラウンドアクティビティまたはデータ流出の試みをチェックしてください。
  • すべての影響を受けたサービスを直ちにアップグレードし、修正が利用可能になるまでパッチが適用されていないバージョンを無効にしてください。

OX Securityはこの調査に続く新しい保護措置をリリースしました。そのプラットフォームはAI生成コード内のSTDIOベースのMCP構成の不正な使用を検出し、顧客のコードベース内の既存の脆弱な構成を実行可能な検出事項としてフラグを付けます。

研究者たちはAnthropicが最近Claude Mythosを発表したことに注目しており、これは世界のソフトウェアを保護することを目的としたツールで、企業がセキュア・バイ・デザインのアプローチを通じて独自のMCPアーキテクチャに同じ標準を適用することを求めています。

翻訳元: https://gbhackers.com/anthropic-mcp-hit-by-critical-vulnerability/

ソース: gbhackers.com
#AIセキュリティ #Anthropic #CVE #MCP脆弱性 #Windsurf #サプライチェーン攻撃 #セキュリティ研究 #セキュリティ脆弱性 #プロンプトインジェクション #リモートコード実行

関連記事

AppDomain攻撃でIntelユーティリティが乗っ取られ、マルウェア起動に悪用

北朝鮮関連のUNC1069が偽造ミーティングを通じて暗号プロを侵害

イランのMOIS、複数のハッカーペルソナを使用した協調的なサイバーキャンペーンに関与