セキュリティ企業OX Securityが、Anthropicのモデルコンテキストプロトコル(MCP: Model Context Protocol)に設計上の欠陥を発見したと報告しました。7,000以上のパブリックサーバーと最大20万のインスタンスが影響を受け、リモートコード実行(RCE)が可能であることが確認されています。Anthropicはこれを「設計通りの動作」として修正を拒否し、セキュリティ上の責任を開発者側に委ねる姿勢を示しました。
MCPはAnthropicが2024年末に公開した標準規格で、AIアシスタントが外部ツールやデータソースと接続するためのプロトコルです。エコシステムは急速に拡大しており、同プロトコルを通じた総ダウンロード数は150億件に達しているとされます。OX Securityによると、今回の脆弱性はMCPサーバーが悪意のある指示を受け入れてしまうアーキテクチャ上の問題に起因しており、攻撃者がMCPサーバーを通じてホストマシン上でコマンドを実行できる状態になっています。単一のアーキテクチャ上の決定が、全言語・全ライブラリ・全プロジェクトにまたがって波及するサプライチェーンリスクが生じています。
Hacker Newsでは「一つのアーキテクチャ上の決定がすべての言語・ライブラリ・プロジェクトに波及した」という指摘が多数の支持を集め、Anthropicの「設計通り」という返答への不信感が根強く示されました。X上ではセキュリティ研究者が「150億ダウンロードのエコシステムを巻き込む最大規模のAIサプライチェーン問題」と警告を発し、MCPを本番環境で運用している企業に即時の対応を求める声が広まりました。r/cybersecurityでは「MCPサーバーを本番で動かしている企業は今すぐリスク評価を行うべき」という実践的なアドバイスが拡散しています。
MCPはAIエコシステムの中核インフラとして急速に普及した一方、そのセキュリティ設計の甘さが今回浮き彫りになりました。Anthropicが修正対応を行わない以上、MCPを利用する開発者・企業は独自のセキュリティ対策(ネットワーク隔離、入力検証の強化、最小権限原則の適用など)を講じることが急務です。AI開発ツールのセキュリティ基準のあり方について、業界全体での議論が求められています。