セキュリティ企業OX Securityは、AnthropicのModel Context Protocol(MCP)に重大なコマンドインジェクション脆弱性が存在すると報告しました。7,000台以上のパブリックサーバーと累計1億5,000万ダウンロードを超えるエコシステムが影響対象とされており、攻撃者が任意のコードを実行(RCE: Remote Code Execution)できる可能性があります。Anthropicは本件に対し「予期された動作である」と回答し、パッチを提供しない方針を示しています。
MCPはAnthropicが仕様を策定したAIツール連携プロトコルで、LLMアプリケーションが外部ツールやデータソースと安全に接続することを目的としています。OX Securityによると、今回の脆弱性は設計レベルに起因するものであり、MCPサーバーが受け取るツール呼び出しパラメータを適切に検証・サニタイズしない実装が多く存在するとのことです。LiteLLM、Cursor、Flowiseなど広く使われているAI開発ツールが影響を受けているとも指摘されており、エコシステム全体の問題として捉える必要があります。Anthropicが「予期された動作」と回答した背景には、MCPの設計思想として「信頼されたサーバーからの入力を前提とする」という考え方があるとみられますが、実際のデプロイ環境ではその前提が成り立たないケースが多いことが問題の核心です。
Hacker Newsでは「業界全体への懸念」として広く報道され、Anthropicの回答が大論争を招いています。Redditのr/netsecコミュニティでは「信頼チェーンが設計レベルで壊れている」との批判が多数を占めており、MCPエコシステム全体の見直しを求める声も上がっています。特に「プロトコルの仕様自体を安全に保つ責任を誰が負うのか」という問いは、AIツール連携の普及が進む中で避けられない議論です。
今回の問題はMCPを採用するすべての開発者・企業に対し、入力バリデーションとサーバー間の信頼境界の見直しを迫るものです。Anthropicがパッチを出さない以上、各実装側での対応が必要になります。MCPエコシステムが急速に拡大する中、セキュリティの組み込みが後手に回っている現状は、AIツール統合の普及期における重要な課題として今後も議論が続くでしょう。