セキュリティ研究者が、AIエージェントの標準プロトコルとして急速に普及しているModel Context Protocol(MCP)の重大な脆弱性を実証しました。悪意あるMCPサーバーがプロンプトインジェクション(AIへの不正命令注入)を通じてAIエージェントを操作し、ユーザーのチャット履歴全体を攻撃者の管理するサーバーへ送信させることが可能であることが確認されました。2026年中にはこの種の攻撃による被害事例が4500万ドル規模に達したとも報告されています。
MCP(Model Context Protocol)とは、AIエージェントが外部ツール・データソース・APIと連携するための標準プロトコルで、AnthropicやOpenAIなど主要AI企業が採用しています。今回明らかになったのは「ツール汚染(Tool Poisoning)」と呼ばれる攻撃手法で、MCPツールの説明文(ツールがAIエージェントに何をするかを伝えるメタデータ)に悪意ある命令を埋め込むことで、AIを操って意図しないアクションを実行させるものです。
具体的な攻撃例として、WhatsApp統合MCPサーバーを悪意あるサーバーと組み合わせることで、「今日の豆知識ツール」に見せかけたバックドアが、ユーザーの全WhatsAppメッセージ履歴を攻撃者の電話番号へ送信するように動作する実証が行われています。さらに、ユーザーが承認したツールが後日ひそかに定義を書き換え、APIキーを外部へ横流しする「ツール定義書き換え」攻撃も確認されています。
Hacker Newsでは「MCPを本番環境に使っている全員が今すぐ読むべき記事」という声がトップに上がり、「プロトコル設計段階でセキュリティが後回しにされた典型例」という批判も多く集まっています。r/netsecでは「AIエージェントへの攻撃面は従来のWebアプリより遥かに広い」という議論が展開され、具体的な対策ガイドをまとめたコメントが高評価を獲得しています。X上ではセキュリティエンジニアたちが「企業がAIエージェントを急いで本番導入している一方、セキュリティ評価が追いついていない」と相次いで警告を発信しました。
OWASPはプロンプトインジェクションをLLMセキュリティリスクの第1位に挙げており、MCP普及に伴い攻撃対象領域が急拡大しています。MCPを利用するシステムでは、ツールへの最小権限アクセス制御・高リスク操作への人間承認ステップの組み込み・敏感データの出力監視を実装することが推奨されています。