MCPプロトコル、設計レベルのRCE脆弱性を暴露、Anthropicはアーキテクチャ変更を拒否

MEニュース：4月21日（UTC+8）、動察Beatingの監視によると、セキュリティ企業OX Securityは、Anthropicが主導するオープンプロトコルMCP（Model Context Protocol、AIエージェントが外部ツールを呼び出すための事実上の標準）に、設計レベルのリモートコード実行脆弱性が存在すると公表しました。攻撃者は、脆弱性のあるMCP実装を実行する任意のシステム上で任意のコマンドを実行し、ユーザーのデータ、内部データベース、APIキー、チャット履歴を取得できます。この脆弱性は実装側のコーディングミスではなく、Anthropicの公式SDKがSTDIO通信を処理するデフォルト動作に起因しており、Python、TypeScript、Java、Rustの4言語バージョンすべてが影響を受けます。STDIOはMCPの通信方式の一つで、ローカルプロセスが標準入出力で通信する仕組みです。公式SDK内のStdioServerParametersは、設定ファイルに記載されたコマンド引数に基づいて子プロセスを直接起動します。開発者が追加の入力クリーン処理を行わないと、このステップに到達するあらゆるユーザー入力がシステムコマンドとして実行されてしまいます。OX Securityは攻撃面を4つのカテゴリに分類しています：設定インターフェースを通じたコマンドインジェクション；ホワイトリストに許可されたコマンドに改行文字を付加してクリーン処理を回避する（例：`npx -c `）；IDE内でプロンプトインジェクションによりMCP設定ファイルを書き換え、Windsurfのようなツールがユーザーのインタラクションなしに悪意あるSTDIOサービスを起動させる；およびMCPマーケットを通じたHTTPリクエストでSTDIO設定に悪意ある内容を隠蔽して挿入する。OX Securityが提示したデータによると、影響を受けたパッケージの累計ダウンロード数は1億5千万回を超え、公開アクセス可能なMCPサーバーは7,000台以上存在し、合計で最大20万インスタンスが暴露され、200以上のオープンソースプロジェクトに関連しています。同チームは30件以上の責任ある開示を提出し、10件以上のハイリスクまたは深刻なCVEを取得しており、LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher、Agent Zero、DocsGPTなどのAIフレームワークおよびIDEをカバーしています。テストした11のMCPパッケージリポジトリのうち9つがこの手法で悪意ある設定を挿入可能であることが確認されました。開示後、Anthropicはこれを「意図された動作」（by design）とし、STDIOの実行モデルは「安全なデフォルト設計」であると主張し、入力クリーン処理の責任を開発者に委ね、プロトコルまたは公式SDKレベルでの変更を拒否しました。DocsGPTやLettaAIなどのベンダーは既に独自のパッチをリリースしましたが、Anthropicの参照実装のデフォルト動作は変更されていません。MCPはすでにAIエージェントが外部ツールと接続する事実上の標準となっており、OpenAI、Google、Microsoftも追随しています。根本的な修正が行われない限り、公式SDKのSTDIO接続デフォルト方式をそのまま使用するあらゆるMCPサービスは、自身で一行も誤ったコードを書かなくても攻撃の入口となり得ます。（出典：BlockBeats）