設計上の欠陥——あるいは、誰が語っているかによっては「悪い設計判断に基づく想定される挙動」——が、Anthropic の公式 Model Context Protocol（MCP）に組み込まれており、セキュリティ研究者によれば、最大で 200,000 台のサーバーが完全な乗っ取りの危険にさらされるといいます。

Ox の研究チームは、問題の根本にパッチを当てるよう Anthropic に「繰り返し」求めたものの、個別のオープンソースツールや、MCP を利用する AI エージェントに対して（これまでのところ）高および重大度の CVE が 10 件出ているにもかかわらず、「プロトコルは問題ない」と何度も告げられたと述べています。Ox によれば、根本的な修正を入れることで、総計 1 億 5000 万回を超えるダウンロードのあるソフトウェア一式にわたってリスクを下げ、下流の利用者で数百万人を保護できた可能性があるとのことです。

Ox の研究者である Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok、Roni Bar は、Anthropic が「挙動は『想定される』ものだ」としてプロトコルのアーキテクチャの変更を拒否したと、2025 年 11 月に始まり、30 を超える責任ある開示プロセスを含んだ研究に関するブログで 述べています。

Anthropic への最初の報告から 1 週間後、AI ベンダーは更新されたセキュリティポリシーをこっそりとリリースしました。これは、直面した AI の不具合 に応じて同様の対応を取るようになっている パターン であるようです。更新されたガイダンスでは、とりわけ STDIO の MCP アダプタは注意して使うべきだと、チームは続報の 30 ページの論文 [PDF] で書いています。さらに「この変更では何も直らなかった」と彼らは付け加えました。

The Register は、この記事に関する取材に Anthropic からの返答を得られていません。

返却形式: {"translated": "翻訳されたHTML"}

セキュリティの調査者たちによれば、根本原因は MCP にあります。MCPは、もともとAnthropicによって開発されたオープンソースのプロトコルで、LLM、AIアプリケーション、エージェントが外部データやシステム、そして互いに接続するために使用します。これはプログラミング言語をまたいで動作します。つまり、Python、TypeScript、Java、Rustを含む、対応する任意の言語で、Anthropicの公式MCPソフトウェア開発キットを使う開発者は、この脆弱性を継承することになります。

MCPは、AIアプリケーションがMCPサーバーをサブプロセスとして生成するためのローカル・トランスポート機構としてSTDIO（標準入出力）を使用します。 「しかし実際には、誰でも任意のOSコマンドを実行できるようになります。コマンドが正常にSTDIOサーバーを作成すればハンドルが返されますが、別のコマンドを与えると、コマンドが実行された後にエラーが返ります」とOxの研究者たちは書いています。

このロジックを悪用すると、AIエコシステム全体にまたがる4種類の異なる脆弱性につながり得ます。

RCEへの道はすべてつながっている

最初の種類の脆弱性は、認証なし／認証ありのコマンドインジェクションです。これにより攻撃者は、認証やサニタイズなしでサーバー上で直接実行されるユーザーが制御したコマンドを入力できます。これによりシステム全体が完全に侵害される可能性があり、公開に面したUIを持つ任意のAIフレームワークが脆弱だ、と伝えられています。

研究者らによると、脆弱なプロジェクトには、すべてのバージョンのLangFlowが含まれます。LangFlowは、AIアプリケーションやエージェントを構築するためのIBMのオープンソースのローコード・フレームワークです。彼らは1月11日にLangFlowへ問題を開示し、CVEは発行されていないと述べています。

また、深いリサーチのために設計されたオープンソースのAIエージェントであるGPT Researcherにも影響します。現時点ではまだパッチはありませんが、この件にはCVEトラッカー（CVE-2025-65720）があります。

2つ目の攻撃経路は、ハードニング回避を伴う、認証なしのコマンドインジェクションです。これにより悪意のある者は、開発者がサーバー上でコマンドを直接実行するために実装した保護機構やユーザー入力のサニタイズをバイパスできます。 

Upsonic（CVE-2026-30625）とFlowise（GHSA-c9gw-hvqq-f33r）はいずれも、実行できるコマンドを「python」「npm」「npx」などの特定のものに限定することで、コマンドインジェクションに対してハードニングされています。理論上は、「command」パラメータ経由でコマンドを直接送ることは不可能にしたはずです。

それでも？ 「許可されたコマンドの引数を介して、間接的にコマンドをインジェクトすることでこの挙動を回避できました。たとえば -'npx -c <command>' のようにです」とOxチームは書いています。

3つ目の種類の脆弱性は、Windsurf、Claude Code、Cursor、Gemini-CLI、GitHub Copilotといった、AI統合開発環境（IDE）やコーディング支援ツールにおけるゼロクリックのプロンプトインジェクションを可能にします。

ただし、この種の脆弱性に対応する発行済みCVEはWindsurfに対するものだけです（CVE-2026-30615）。また、ユーザーのプロンプトがユーザー操作なしでMCPのJSON設定に直接影響するため、これは唯一の真のゼロクリック脆弱性でもあります。

それ以外のすべてのIDEやベンダー――Google、Microsoft、Anthropicを含む――は、これが既知の問題だ、またはファイルを修正するには明示的なユーザー許可が必要なため有効なセキュリティ脆弱性ではない、と述べました。

• Anthropicは、リモートコード実行につながる可能性のあるGit MCPサーバーの欠陥を静かに修正した
• GitHubに連携したエージェントは認証情報を盗める——しかしAnthropic、Google、Microsoftはユーザーに警告していない
• AnthropicのProject Glasswingが実際に見つけたCVEの数が誰にも分からない
• Anthropicは、あなたのエージェントを同社のソファで休ませることを許可する

最後に、4つ目の脆弱性ファミリーはMCPマーケットプレイスを通じて提供され得ます。そして脅威ハンターたちは、これら11のマーケットプレイスのうち9つを「成功裏に汚染した」と述べていますが、悪意のあるソフト（マルウェア）ではなく、コマンドを実行して空のファイルを生成する、という概念実証（proof-of-concept）のMCPを使っていました。

「私たちの投稿を受け入れたマーケットプレイスには、月間の訪問者が数十万人いるようなプラットフォームが含まれていました」とセキュリティ企業は書いています。「これらのディレクトリのいずれかにある1つの悪意あるMCPエントリが、検知される前に何千人もの開発者にインストールされ得ます。各インストールにより、攻撃者は開発者のマシン上で任意のコマンド実行を行えるようになります。」

Oxは、Anthropicには「デフォルトでMCPを安全にする」能力と責任があると主張しています。

「プロトコル・レベルでの1つのアーキテクチャ変更が、今日MCPに依存しているすべての下流プロジェクト、すべての開発者、すべてのエンドユーザーを保護していたはずです」と研究者らは書いています。「それが『スタックを所有する』という意味です。」 ®

関連記事

• AI
• Anthropic
• オープンソース

これに近い内容