セキュリティ企業OX Securityは、AIエージェントの標準的な通信仕様として広く採用されているAnthropicの「MCP(Model Context Protocol)」に、リモートコード実行(RCE)の重大脆弱性が存在すると公表しました。累計1.5億ダウンロードを超えるMCPを採用するLiteLLM・Cursor・Windsurfなど主要製品が影響を受けますが、AnthropicはMCPの設計上の仕様であるとして修正を拒否しています。
OX Securityによれば、この脆弱性を悪用すると攻撃者はMCPサーバー経由でターゲットのシステム上で任意のコードを実行できます。現在インターネット上に公開されているMCPサーバーは約7,000に上り、修正が行われない限りこれらすべてが潜在的な攻撃対象のままとなります。Anthropicが「仕様通り」と応じたことで、対応はエコシステム参加企業それぞれに委ねられた形です。
X上では「修正しない判断に驚き。『設計通り』と言われても7,000の公開サーバーが危険な状態なのは変わらない」という批判的な声が多く見られます。r/netsecでは「AIエコシステムのサプライチェーンリスクが可視化された。MCP採用企業は早急に対応を」という警告が広まっており、特に企業内システムとMCPを連携させている組織への注意喚起が続いています。Hacker Newsでは「AIツール乱立でセキュリティレビューが追いつかない」という根本問題が指摘され、AI開発速度とセキュリティ品質のトレードオフについて議論が沸騰しています。
MCPはAIエージェントが外部ツールやデータソースと連携するための事実上の標準として急速に普及しており、今回の問題はその普及速度がセキュリティ設計の成熟を上回ってしまったことを示しています。LiteLLMやCursorなど影響を受ける製品の開発元が独自のワークアラウンドを公開するかどうかが、当面の焦点となりそうです。