Gate Newsメッセージ、4月21日――セキュリティ企業OX Securityは、Anthropicが主導するAIエージェントが外部ツールを呼び出すためのオープン標準であるMCP (Model Context Protocol)において、設計レベルのリモートコード実行 (RCE)の脆弱性を開示しました。攻撃者は、脆弱なMCP実装が動作しているあらゆるシステム上で任意のコマンドを実行でき、ユーザーデータ、社内データベース、APIキー、チャット履歴へのアクセスを獲得します。
この欠陥は実装エラーによるものではなく、STDIOトランスポートの取り扱いにおけるAnthropic公式SDKのデフォルト動作に起因します。これはPython、TypeScript、Java、Rustの各バージョンに影響します。公式SDKのStdioServerParametersは、設定コマンドのパラメータに基づいてサブプロセスを直接起動します。開発者による追加の入力サニタイズがない場合、この段階に到達したユーザー入力はどれもシステムコマンドになります。OX Securityは4つの攻撃ベクトルを特定しました。設定インターフェース経由での直接コマンドインジェクション、ホワイトリスト化されたコマンドフラグ (e.g., npx -c \u003ccommand\u003e)によってサニタイズを回避すること、IDEにおけるプロンプトインジェクションでWindsurfのようなツール向けのMCP設定ファイルを書き換え、ユーザー操作なしで悪意あるSTDIOサービスを実行させること、そしてMCPマーケットプレイスにおいてHTTPリクエストを通じてSTDIO設定を注入することです。
OX Securityによると、影響を受けるパッケージは150,000,000回以上ダウンロードされており、公開されている7,000+件のMCPサーバーが、200+のオープンソースプロジェクトにまたがって最大200,000インスタンスを公開しています。チームは30+件の責任ある開示を提出し、その結果、LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher、Agent Zero、DocsGPTを含むAIフレームワークやIDEにまたがる10+件の高深刻度またはクリティカルのCVEを含む事案につながりました。テストした11のMCPパッケージリポジトリのうち9つは、この手法を用いて侵害される可能性がありました。
Anthropicは、これは「by design」であり、STDIOの実行モデルは「secure default design」だと回答し、入力サニタイズの責任を開発者に移し、プロトコルまたは公式SDKの修正を拒否しました。DocsGPTとLettaAIはパッチをリリースしていますが、Anthropicのリファレンス実装は変更されていません。MCPが外部ツールにアクセスするAIエージェントの事実上の標準になり――OpenAI、Google、Microsoftに続く形で――公式SDKのデフォルトSTDIOアプローチを使用する任意のMCPサービスは、開発者がエラーのないコードを書いていても、攻撃ベクトルになり得ます。\u003c/command\u003e
