AnthropicのModel Context Protocol(MCP)に関連する脆弱性が、2026年1月から2月の60日間で30件以上報告されました。Palo Alto NetworksのUnit 42が新たな攻撃経路を文書化したこのレポートは、AIエージェント基盤の急速な普及がセキュリティ検証を置き去りにしている現状を浮き彫りにしています。
報告された脆弱性の深刻度はさまざまですが、中にはCVSSスコア9.6のリモートコード実行(RCE)脆弱性も含まれており、該当パッケージは約50万回ダウンロードされていました。2,614のMCP実装を調査した結果によると、82%がパストラバーサル攻撃に脆弱なファイル操作を使用しており、3分の2に何らかのコードインジェクションリスクが存在し、3分の1以上がコマンドインジェクションの影響を受ける可能性があります。攻撃ベクトルの内訳では、43%がexec/shellインジェクションでした。
具体的な脆弱性としては、Azure Data Explorer MCP ServerのKQLインジェクション(CVE-2026-25536)や、LibreChatのOAuthトークン漏洩につながるMCPサーバー設定の問題(CVE-2026-31951)などが報告されています。Hacker Newsでは「急速な普及に対してセキュリティ検証が追いついていない」との指摘が相次ぎ、Redditではこれらの脆弱性の詳細分析が活発に行われています。
根本原因はエキゾチックなゼロデイではなく、入力バリデーションの欠如、認証の不在、ツール説明文への盲目的な信頼といった基本的なセキュリティ対策の不備です。MCPが月間9,700万ダウンロードを突破し業界標準として定着しつつある今、開発者コミュニティには実装段階でのセキュリティ意識向上が求められています。