私たちは、すべての公開されているMCPサーバーとOpenClawスキルをスキャンしました — 合計15,923。これがAIツールエコシステムの完全なセキュリティ状況です。
要約: MCPサーバーの36%がF(不合格)でした。42のスキルが悪意のあるものとして確認され(0.4%)、552が最初にフラグが立てられました。トークン漏洩が最も重要な脆弱性で、757のサーバーで見つかりました。B評価以上を得たのはわずか2%です。
データセット
SpiderRatingは、15,923のAIツールを2つのエコシステムにわたって分析しました:
- 5,725のMCPサーバー(モデルコンテキストプロトコル — AIエージェントを外部ツールに接続するための標準)
- 10,198のOpenClaw/ClawHubスキル(Claude、Cursor、Windsurfのエージェント行動定義)
各ツールは、説明の質、セキュリティ、メタデータの3つの次元で評価され、SpiderScore(0-10)と文字評価(A-F)に統合されました。
これは、これまでのMCP/AIツールエコシステムに関する最大の独立したセキュリティ分析です。
主要な発見
1. ほとんどのAIツールは平凡 — B評価以上はわずか2%
| 評価 | MCPサーバー | スキル | 意味すること |
|---|---|---|---|
| A (9.0+) | 0 (0%) | 0 (0%) | "模範的"基準を満たすツールはなし |
| B (7.0-8.9) | 116 (2%) | 95 (1%) | 良好なプラクティスを持つ生産準備完了 |
| C (5.0-6.9) | 1,995 (35%) | 9,050 (89%) | 適切だが改善の余地あり |
| D (3.0-4.9) | 1,546 (27%) | 1,052 (10%) | 重大な品質/セキュリティのギャップ |
| F (<3.0) | 2,068 (36%) | 1 (0%) | 不合格 — 深刻な問題 |
A評価を得たツールはゼロです。 MCPサーバーは二峰性の分布を持ち、良好(C)かひどい(F)です。
2. トークン漏洩が最も重要な脆弱性
エコシステム全体で32,691のセキュリティの発見がありました。
| ランク | 脆弱性 | 影響を受けたサーバー | 発見数 |
|---|---|---|---|
| 1 | トークン漏洩 | 757 (13%) | 6,632 |
| 2 | コマンドインジェクション | 269 (5%) | 1,007 |
| 3 | SQLインジェクション | 105 (2%) | 787 |
| 4 | パス横断 | 244 (4%) | 761 |
| 5 | プロトタイプ汚染 | 145 (3%) | 489 |
| 6 | ハードコーディングされた資格情報 | 163 (3%) | 389 |
| 7 | 秘密漏洩(メタデータ) | 114 (2%) | 376 |
| 8 | コマンドインジェクション(os) | 112 (2%) | 263 |
トークン漏洩だけで、すべての発見の20%を占めています。 APIキー、認証トークン、秘密がMCPツールの出力を通じて露出しています。
3. MCPサーバーの36%がF評価
MCPサーバーの3分の1以上が根本的に安全ではありません:
- MCPの平均スコア: 4.11/10
- スキルの平均スコア: 5.91/10
MCPサーバーのスコアが悪い理由: 説明の質の危機 — 平均3.13/10。ほとんどのサーバーはAIエージェントにツールの機能を伝えていません。
4. 552のスキルがフラグが立てられ、42が悪意のあるものとして確認
私たちは二段階のセキュリティ分析を使用しました:
- 自動脅威スキャナー — 悪意のある行動のパターンマッチング
- LLM検証 — Claude Haikuが各発見をレビューし、「攻撃を説明するセキュリティツール」と「攻撃を実行する悪意のあるスキル」を区別します
結果:
- 552のスキルが最初に重大なセキュリティ問題でフラグが立てられました
- 42が悪意のあるものとして確認されました(エコシステムの0.4%)
- 自動発見の97%が偽陽性でした — 主にキーワードベースの検出を引き起こした正当なセキュリティツールの説明です
5. 説明の質の危機
97%のツールがシナリオトリガーを欠いています — AIにいつ使用するかを伝えていません。
| 信号 | カバレッジ |
|---|---|
| アクション動詞あり | ~60% |
| シナリオトリガーあり | ~3% |
| パラメータドキュメントあり | ~45% |
| エラーガイダンスあり | ~8% |
AIエージェントは頻繁に間違ったツールを選択します — AIが愚かだからではなく、ツールのドキュメントが壊れているからです。
開発者にとっての意味
MCPサーバーを構築する場合:
- シナリオトリガーを書く — AIエージェントに各ツールをいつ使用するかを伝える
- トークンをログに記録しない — 秘密を削除する構造化エラーハンドリングを使用する
- パラメータ化されたクエリを使用する — SQLインジェクションは3位
- READMEとライセンスを追加する — スコアの20%を占めます
AIツールをインストールする場合:
- インストール前にSpiderScoreを確認する — C(5.0)未満には既知の問題があります
- 重要と評価されたスキルには注意する — 0.4%が悪意のあるものとして確認されています
- B評価のツールを優先する — セキュリティのベストプラクティスを示しています
方法論
- スキャナー: spidershield(オープンソース、MIT)
- データ: 15,923ツール、78,849ツールの説明、32,691のセキュリティの発見
- 精度: 93.6%のキャリブレーション精度
- スコアリング: 説明(45%) + セキュリティ(35%) + メタデータ(20%)
データは毎日更新されます。完全な方法論はspiderrating.comで入手可能です。
あなたが遭遇した最悪のMCPセキュリティ問題は何ですか?コメントで共有してください。
