「MCPにシステム的な脆弱性」とセキュリティ企業が指摘 Anthropicは仕様として修正を拒否

MCPにシステム的な脆弱性が存在し、ダウンストリームのフレームワークやツールのユーザーが危険にさらされているとセキュリティベンダーのOX Securityが指摘している。

[三木泉，＠IT]

　セキュリティ企業のOX Securityは2026年4月15日（米国時間）、広く使われているAI連携プロトコルMCP（Model Context Protocol）にシステム的な脆弱性が存在するというレポートを公開した。1億5000万以上のダウンロード、7000台以上のサーバに影響を与えるとしている。MCPプロジェクトを率いるAnthropicには度重ねて警告を発したが、Anthropicは「仕様」として対応を拒んでいるという。

　OX Securityが指摘しているのはMCP公式SDKの脆弱性。攻撃者はリモートコード実行を通じ、機密データやデータベース、APIキー、チャット履歴に直接アクセスできるとする。LiteLLM、LangChain、LangFlowなどさまざまなダウンストリームツールのユーザーを危険にさらすという。

　具体的には、以下の4つの主要攻撃ベクトルを特定したという。

• 人気のAIフレームワークを標的とし、認証を経由せずに悪意のあるコマンドやスクリプトを注入
• Flowiseなどのハードニング環境におけるセキュリティ制限の回避
• WindsurfやCursorといったAI IDE（統合開発環境）におけるローカルなコマンド実行
• 悪意のあるマーケットプレイスでの配布

　この問題はコーディングエラーではなく、公式SDKアーキテクチャ設計上の決定に起因する問題だとOX Securityは指摘する。

　「Anthropicは、公式SDKにおいてマニフェストのみの実行やコマンドの許可リストを実装できる。プロトコルレベルでこれさえ実行すれば、効果は即座に全てのダウンストリームのライブラリやプロジェクトに波及する」（ブログポストより）

　OX SecurityはAnthropicに対し、この提案を繰り返し行った。しかしAnthropicは、現在の実行モデルは安全なデフォルトであり、無害化は開発者の責任だとして、プロトコルのアーキテクチャ変更を拒否したという。

OX Securityが推奨する6つの対策

　OX Securityは、上記のような現状を踏まえた自衛策として。次の6つを挙げている。

機密サービスへのアクセス制限　LLMやAIツールなどの機密サービスへのパブリックIPアクセスをブロックし、可能な限りインターネットに公開しないようにする

外部入力の無条件の信頼を避ける　ユーザーの入力がStdioServerParametersなどの設定に到達する場合は、完全にブロックするか、事前に設定された安全なコマンドのみを実行させるように制限する

公式ディレクトリの利用:　悪意のあるサーバやタイポスクワッティングを避けるため、公式のGitHub MCP Registryなど検証済みのソースからのみMCPサーバをインストールする

サンドボックスでの実行　MCP対応サービスはサンドボックス内で実行し、外部データベースやAPIキーへのアクセス権限を制限する

ツール呼び出しの監視　AIエージェントが呼び出しているツールを監視し、未知の外部URLへのデータ持ち出しなどを警戒する

最新版へのアップデート　影響を受けるサービス（LiteLLMやBishengはパッチが提供済み）は速やかにアップデートする

　なお、本記事の執筆時点で、他に同様な指摘をしているセキュリティベンダーなどは見当たらない。