OX Securityの研究者が、AnthropicのModel Context Protocol(MCP)公式SDK(Python・TypeScript・Java・Rust)にアーキテクチャレベルの欠陥を発見したと報告しました。STDIO(標準入出力)経由で任意のコマンドを実行できる設計上の問題で、7,000台以上の公開サーバーと最大20万件の脆弱なインスタンスが影響を受け、累計ダウンロード数は1億5,000万件に上ります。
この脆弱性は、MCPのSTDIOトランスポート層が外部からの入力を適切に検証せずに実行パイプラインに渡す仕組みにあります。攻撃者は悪意のあるペイロードを注入することで、MCP経由で接続されたAIエージェントのホスト環境で任意コードを実行できる可能性があります。研究者がAnthropicに報告したところ、AnthropicはこれをMCPの「期待される動作(intended behavior)」として設計変更を拒否したとされています。
影響を受けるのはMCP SDKを利用してAIエージェントを構築しているすべての開発者です。特にエージェントがローカルファイルシステムやシェルへのアクセス権を持つ構成では、STDIO経由の悪意あるメッセージによってホスト全体が乗っ取られるリスクがあります。個別のベンダーによるパッチ提供は進んでいますが、SDK本体の根本的な問題は未解決のままです。
X(旧Twitter)ではセキュリティ研究者から強い批判が相次ぎ、「設計上の仕様」という回答への反発が広まっています。MCPを使ったエージェント実装の全面的な見直しを求める声も拡散中です。Redditのr/netsecでは「Anthropicはサプライチェーンリスクを軽視している」との投稿が上位に入り、Hacker Newsでは1億5,000万ダウンロードへの影響範囲を問題視しながら「MCPエコシステム全体の信頼性」についての議論が続きました。
MCPを利用しているチームは、STDIOトランスポートを介した外部入力の検証層を独自に実装することが現状では最善策です。また、エージェントに付与するシステム権限を最小化し、ホスト環境との分離を強化することも重要です。Anthropicが設計変更を拒否している以上、短期的にはエコシステム側での防御策が中心となります。AIエージェント基盤の急速な普及が進む中、MCPのような標準プロトコルにおける設計上のトレードオフが、今後のセキュリティ議論の核心になりそうです。