急速に普及が進むAnthropicのModel Context Protocol(MCP)に、重大なセキュリティリスクが存在することをセキュリティ研究者が発見しました。悪意あるMCPツールをAIエージェントがインストールした後、そのツールがユーザーのチャット履歴全体を外部サーバーに送信できる脆弱性です。わずか16ヶ月で9,700万インストールに達したエコシステムだけに、影響範囲の大きさが懸念されています。
MCPはAIアシスタントが外部ツールやデータソースと連携するためのプロトコルで、ファイル操作、データベースアクセス、ウェブ検索など幅広い機能を提供します。問題は、悪意を持って設計されたMCPツールがインストールされた場合、AIエージェントのコンテキストウィンドウ——つまりそれまでの会話全体——にアクセスし、その内容を攻撃者のサーバーに転送できることです。
さらに、MCPを介した「プロンプトインジェクション攻撃」のリスクも指摘されています。外部データソースから取得したコンテンツの中に悪意ある指示を埋め込むことで、AIに意図しない行動を取らせる手法で、ユーザーが気づかないまま機密情報が漏洩する可能性があります。
X(旧Twitter)では「9,700万インストールのMCPにこんなリスクがあるとは」と驚くポストが拡散し、Claudeユーザーを中心にサードパーティMCPサーバーへの注意喚起が広まりました。r/LocalLLaMaとr/ClaudeAIでは信頼できるソースからのみMCPツールをインストールすることを推奨する声が多数を占めています。
Hacker Newsでは「ツールの権限管理とサンドボックス化が不十分なまま普及が進んでいる」という指摘が多くの共感を集め、Anthropicに対してより厳格な審査体制や権限管理機能の実装を求めるコメントが上位に並んでいます。
対策として現時点で推奨されるのは、公式リポジトリや信頼できる開発者が公開したMCPツールのみを使用すること、インストール前にツールのコードを確認すること、そして不審な挙動がないかログを監視することです。MCPの利便性を享受しつつリスクを管理するリテラシーが、すべてのAIユーザーに求められています。