AnthropicがAIエージェントの外部ツール連携用に策定した「Model Context Protocol(MCP)」に、わずか60日間で30件ものCVE(共通脆弱性識別子)が報告されました。AIインフラとしては最速で成長する攻撃対象となっており、セキュリティ研究者らが相次いで警鐘を鳴らしています。
特に深刻なのは「オーバーシンキングループ」と呼ばれる攻撃手法です。悪意あるMCPツールサーバーがLLMエージェントに対して循環的な思考ループを誘発し、トークン消費量を最大142.4倍に増幅させることが可能です。これによりAPIコストが急騰する「denial-of-wallet(財布枯渇攻撃)」のリスクが生じます。また「ラインジャンピング」攻撃では、MCPサーバーがツールの説明文にプロンプトインジェクションを仕込むことで、ツールが実際に呼び出される前からAIの動作を操作できてしまいます。
Claude Desktopでは特に深刻な脆弱性が発見されています。拡張機能がサンドボックスなしでホストシステムの完全な権限で実行されるため、Googleカレンダーなどの公開コネクタから悪意ある指示を受け取ったClaudeが、自律的にコマンドラインアクセス機能を持つ別の拡張機能を使用し、有害なコードをダウンロード・コンパイル・実行する事例が確認されました。この攻撃はクリック不要で被害者の承認も必要なく、LayerXはCVSSスコア10.0(最高深刻度)を付与しています。
Hacker Newsでは「ラインジャンピング」攻撃の巧妙さが話題となり、Redditでは「83%の組織がエージェンティックAI導入を予定する一方、安全に運用できる準備ができているのは29%のみ」との調査結果に懸念の声が上がっています。JFrog Security Research teamが発見したCVE-2025-6514(CVSS 9.6)はmcp-remoteプロジェクトに影響し、信頼できないサーバーへの接続時に任意のOSコマンド実行を可能にする深刻なものでした。AIエージェントの急速な普及に対し、セキュリティ対策が追いついていない現状が浮き彫りになっています。