MCPに深刻な脆弱性 関連ソフトウェアのダウンロード数は1億5000万件超え：Anthropicは仕様と主張

OX Securityは、AnthropicのMCPに設計起因の脆弱性があると公表した。悪用すれば対象システムで任意のコマンドを実行できる。影響範囲は広く、関連するソフトウェアのダウンロード数は1億5000万件を超えるため要注意だ。

[＠IT]

　セキュリティ企業のOX Securityは2026年4月15日（米国時間）、AIと外部データやツールをつなぐオープンなプロトコルModel Context Protocol（MCP）の中核に、重大かつ広範囲に影響する設計上の問題が存在すると発表した。

1.5億DLに影響　MCPに深刻な脆弱性

　同社の調査によると、この問題は単なる実装ミスではなく、公式SDK（ソフトウェア開発キット）に組み込まれた構造的な仕様に起因するもので、PythonやTypeScript、Java、Rustといった複数言語の実装全体に影響が及ぶ。AIサプライチェーンの根幹に関わる問題であり、開発者がMCPを基盤としてシステムを構築すると、意図せず同様のリスクを抱える可能性がある。

　この問題を悪用すると、攻撃者は対象システムで任意のコマンドを実行できる。これによってユーザーデータや内部データベース、APIキー、チャット履歴などへのアクセスが可能となる。同調査において、実際に複数の本番環境でコマンド実行に成功しており、現実的な脅威であることが確認された。

　影響範囲は広く、関連するソフトウェアのダウンロード数は1億5000万件を超え、公開状態のサーバは7000台以上、脆弱（ぜいじゃく）なインスタンスは最大20万規模に達し、AI開発基盤やツール群に横断的な影響が及ぶ恐れがある。

　攻撃手法は主に認証不要のUIインジェクションや保護設定を回避する手法、ゼロクリックでのプロンプトインジェクション、不正なサーバ配布による侵入の4つに分類される。影響を受けるソフトウェアには「LiteLLM」「LangChain」「LangFlow」など広く利用されるプロジェクトが含まれ、これまでに10件以上のCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）が発行されている。一部は修正済みだが、全体の原因は依然としてプロトコル仕様に残っている。

　MCPを策定したAnthropicに対し、問題の根本への修正が提案されたが、同社は想定された挙動を仕様の範囲内と判断し、プロトコルを変更しない姿勢を示した。研究結果の公開については異議は示されなかった。OX Securityは基盤部分の問題が残る限り、同様のリスクは継続すると指摘している。

　同社は対策として、機密性の高いサービスをインターネットに公開しないこと、外部入力を信頼しない設計とすること、公式の配布元からのみコンポーネントを導入すること、権限を制限した環境での実行、通信や処理内容の監視、最新バージョンへの更新を挙げている。