EU AI Act適合性のために11,529台のMCPサーバをスキャンしました

Dev.to / 2026/3/22

📰 ニュースDeveloper Stack & InfrastructureSignals & Early TrendsIndustry & Market Moves

原文を読む →

共有:

要点

11,529台のMCPサーバをスキャンした結果、EU AI Actの適合性に問題のあるサーバが850台（7.4%）見つかり、EU AI Actに関する文書を一切保有していませんでした。
最大の問題カテゴリはリスク文書の欠如（第9条）で、438台（全体の51.5%）に影響しています。内訳は、ツールの説明におけるプロンプトインジェクションの脆弱性が187件、外部データフローの検証不足が156件、エラーハンドリング文書が欠如しているものが127件です。
不十分な透明性（第13条）が312台のサーバに影響し、134台が能力境界の欠如、107台がクロスオリジンデータアクセスの開示欠如、96台が公表された目的を超える機能の未開示を抱えています。
堅牢性ギャップ（第15条）が186台のサーバに影響し、過剰な権限要求が83件、コマンドインジェクションの脆弱性が67件、設定に露出した認証情報が58件含まれます。
EU AI Actの施行は2026年8月2日に始まり、業界ガイダンスでは遵守までに32〜56週間、段階的な是正スケジュールが示されています。したがって、AIモデルと外部ツールの間のインタフェース層であるMCPサーバは、個人データを扱う場合や規制対象領域での運用時に、重要な遵守の焦点となります。

公開レジストリに登録されているすべてのMCPサーバー — 11,529台 — を、15言語に跨る200個の正規表現ベースの検出パターンを用いてスキャンしました。ループ内にLLMはなく、クラウド依存もなく、純粋に決定論的な分析です。

見出しの数字: 850台のサーバー（7.4％）がコンプライアンス上の問題を抱えています。これらのうちEU AI Actの文書を持つものは一つもありません。

EU AI Actは2026年8月2日に施行されます — 今から134日です。

Why MCP Servers Matter for EU AI Act

MCP（Model Context Protocol）サーバーは、AIモデルと外部ツールの間のインターフェース層です。AIエージェントがあなたのメールを読み取り、データベースを照会し、コードを実行するとき、それはMCPを経由します。

第6条/アネックスIIIに基づき、個人データを扱う場合や規制対象の領域で運用される場合、これらはコンプライアンス上重要になります。そしてほとんどがそうです。

What We Found

1. Missing Risk Documentation (Art. 9) — 438 servers (51.5%)

最大のカテゴリです。第9条は高リスクAIシステムのリスク管理を文書化することを要求します。

187サーバー: ツール記述におけるプロンプトインジェクションの脆弱性
156サーバー: 検証されていない外部データフロー
127サーバー: エラーハンドリングの文書化なし

実例: 検証なしで任意のパスを受け付けるファイルシステムMCPサーバー。攻撃者が管理するプロンプトを通じてAIエージェントが/etc/passwdを読み取ることが可能です。リスク文書は存在しません。

2. Insufficient Transparency (Art. 13) — 312 servers (36.7%)

第13条は、デプロイ担当者がシステムの出力を解釈できるよう、AIシステムを十分に透明にすることを求めます。

134サーバー: 能力の境界が欠如 — ツールは自らができないことを文書化していない
107サーバー: 開示なしのクロスオリジンデータアクセス
96サーバー: 明示された目的を超えた未公開の機能

3. Robustness Gaps (Art. 15) — 186 servers (21.9%)

第15条は、AIシステムが適切な精度・堅牢性・サイバーセキュリティを達成することを要求します。

83サーバー: 過剰な権限要求
67サーバー: コマンドインジェクションの脆弱性
58サーバー: 設定に露出した認証情報

The Timeline Problem

業界のガイダンスによれば、EU AI Actの完全な適合には32〜56週間かかります：

Phase	Duration
リスク分類	2-4週間
ギャップ分析	4-8週間
是正措置	12-24週間
適合性評価	8-16週間
監視設定	4-8週間
最小合計	224日

134日残っています。 今から始める人には現実的ではありません。

How We Built the Scanner

ループにLLMは含まれていません。理由は次のとおりです：

明らかなアプローチは、別のLLMを使用してプロンプトインジェクションを検出することです。しかしそれは循環的な依存を生みます — 攻撃者がLLMに何を見るかをコントロールします。クイーンズ大学はこれを1,899のMCPサーバーで検証しました。システムプロンプトの制限により攻撃成功率はわずか0.65%減少しました。

代わりに、10段階の前処理パイプラインを使用します：

Leetspeak正規化 (1gn0r3 → ignore)
ゼロ幅文字の除去 (U+200B, U+FEFF)
同形字検出 (キリルа vs ラテンのa)
Unicode全角正規化
埋め込みペイロードのBase64デコード
HTML実体のアンエスケープ
ROT13/Caesar検出
空白の正規化
行を跨ぐ結合
文脈を保持した大文字小文字の正規化

次に、9カテゴリ、15言語にわたる200の正規表現パターン。サブ10msの応答時間。262件のテストケースでF1は98.0%です。

決定論的。監査可能。幻覚的な偽陰性はありません。

What You Should Do

If you maintain an MCP server:

ツール記述に対して自動スキャンを実行する
機能を明示的に文書化する（ツールが何をするか、何をしないか）
すべての入力を検証する — 特にファイルパス、URL、SQL
サーバーマニフェストにリスクメタデータを追加する

If you deploy MCP servers in production:

AIエージェントが接続するすべてのMCPサーバーをインベントリする
アネックスIIIに基づいてリスクレベルで分類する
今すぐコンプライアンス評価を開始する — 次の四半期ではなく

If you're a security team:

MCPはあなたの次の攻撃面です。2015年のAPIのように扱いましょう。

Try It

The scanner is open source (MIT):

GitHub: github.com/joergmichno/clawguard
無料スキャン（アカウント不要）: prompttools.co/shield
API: prompttools.co/api/v1/
完全レポート: prompttools.co/blog/eu-ai-act-mcp-compliance-report-2026

方法論、検出パターン、または自分のMCPサーバーをスキャンする方法について質問がありますか？コメントをお寄せください — 技術的な詳細について深掘りします。

💡 この記事が使われたインサイト

AIの最新ニュースをまとめた「今日の要点」で、この記事が取り上げられています。

📅 3/22Dailyインサイトを見る →

テックキャリアに4年間も費やしている

Dev.to

数学には思考の時間が、日常知識には記憶が必要であり、新しいTransformerアーキテクチャは両方を実現することを目指す

THE DECODER

[P] allToall アーキテクチャを用いたデータ並列で 3 台の Mac Minis M4 上で Llama3.2-1B-Instruct の推論！ | smolcluster

Reddit r/MachineLearning

NVIDIA V100 32GB が Qwen Coder 30B A3B Q5 で約115トークン/秒を達成

Reddit r/LocalLLaMA

実務作業のためにAIをローカルで運用する3〜4年計画を始めるべきか？