ME News ニュース、4月21日(UTC+8)、動察Beatingの監視によると、安全会社OX Securityは最近、Anthropic主導のオープンプロトコルMCP(Model Context Protocol、AIエージェントが外部ツールを呼び出すための事実標準)に設計段階のリモートコード実行の脆弱性が存在すると明らかにした。攻撃者は脆弱なMCP実装を持つシステム上で任意のコマンドを実行でき、ユーザーデータ、内部データベース、APIキー、チャット履歴を取得できる。この脆弱性は実装者のコーディングミスではなく、Anthropic公式SDKがSTDIO伝送を処理する際のデフォルト動作に起因し、Python、TypeScript、Java、Rustの4つの言語バージョンすべてが影響を受けている。STDIOはMCPの一つの伝送方式で、ローカルプロセス間が標準入力出力を通じて通信するものである。公式SDKのStdioServerParametersは設定されたコマンドパラメータに従って子プロセスを直接起動し、開発者が追加の入力洗浄を行わなければ、どんなユーザー入力もシステムコマンドに変わる可能性がある。OX Securityは攻撃面を4つに分類している:設定画面から直接コマンドを注入すること;ホワイトリストにある許可されたコマンドに行マーク(例:\npx -c \<コマンド\>)を付けて洗浄を回避すること;IDE内でヒントを用いてMCP設定ファイルを書き換え、Windsurfのようなツールがユーザーの介入なしに悪意のあるSTDIOサービスを起動すること;そしてMCP市場のHTTPリクエストを密かにSTDIO設定に挿入すること。OX Securityが示した数字によると、影響を受けたソフトウェアパッケージのダウンロードは累計1.5億回超、公開アクセス可能なMCPサーバーは7000台以上、最大20万のインスタンスが露出し、200以上のオープンソースプロジェクトに関わっている。チームは責任開示を30件以上提出し、10件以上の高危険または深刻なCVEを取得しており、LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher、Agent Zero、DocsGPTなどのAIフレームワークやIDEをカバーしている。11のMCPパッケージリポジトリのうち、9つがこの手法で悪意のある設定を挿入できることをテスト済みだ。公開後、Anthropicはこれを「意図された動作」(by design)と回答し、STDIOの実行モデルは「安全なデフォルト設計」に属するとし、入力洗浄の責任を開発者に押し付け、プロトコルや公式SDKレベルでの変更を拒否している。DocsGPTやLettaAIなどのベンダーは既にパッチを公開しており、Anthropicの参考実装のデフォルト動作は変わっていない。MCPはすでにAIエージェントが外部ツールを呼び出す事実標準となっており、OpenAI、Google、Microsoftも追随している。根本的な修正が行われない限り、公式SDKのデフォルト方式でSTDIOを受け入れるMCPサービスは、自分が一行もコードを書いていなくても攻撃の入口となる可能性がある。(出典:BlockBeats)
MCPプロトコルが設計段階のRCE脆弱性を曝露、Anthropicはアーキテクチャの変更を拒否
ME News ニュース、4月21日(UTC+8)、動察Beatingの監視によると、安全会社OX Securityは最近、Anthropic主導のオープンプロトコルMCP(Model Context Protocol、AIエージェントが外部ツールを呼び出すための事実標準)に設計段階のリモートコード実行の脆弱性が存在すると明らかにした。攻撃者は脆弱なMCP実装を持つシステム上で任意のコマンドを実行でき、ユーザーデータ、内部データベース、APIキー、チャット履歴を取得できる。この脆弱性は実装者のコーディングミスではなく、Anthropic公式SDKがSTDIO伝送を処理する際のデフォルト動作に起因し、Python、TypeScript、Java、Rustの4つの言語バージョンすべてが影響を受けている。STDIOはMCPの一つの伝送方式で、ローカルプロセス間が標準入力出力を通じて通信するものである。公式SDKのStdioServerParametersは設定されたコマンドパラメータに従って子プロセスを直接起動し、開発者が追加の入力洗浄を行わなければ、どんなユーザー入力もシステムコマンドに変わる可能性がある。OX Securityは攻撃面を4つに分類している:設定画面から直接コマンドを注入すること;ホワイトリストにある許可されたコマンドに行マーク(例:\npx -c <コマンド>)を付けて洗浄を回避すること;IDE内でヒントを用いてMCP設定ファイルを書き換え、Windsurfのようなツールがユーザーの介入なしに悪意のあるSTDIOサービスを起動すること;そしてMCP市場のHTTPリクエストを密かにSTDIO設定に挿入すること。OX Securityが示した数字によると、影響を受けたソフトウェアパッケージのダウンロードは累計1.5億回超、公開アクセス可能なMCPサーバーは7000台以上、最大20万のインスタンスが露出し、200以上のオープンソースプロジェクトに関わっている。チームは責任開示を30件以上提出し、10件以上の高危険または深刻なCVEを取得しており、LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher、Agent Zero、DocsGPTなどのAIフレームワークやIDEをカバーしている。11のMCPパッケージリポジトリのうち、9つがこの手法で悪意のある設定を挿入できることをテスト済みだ。公開後、Anthropicはこれを「意図された動作」(by design)と回答し、STDIOの実行モデルは「安全なデフォルト設計」に属するとし、入力洗浄の責任を開発者に押し付け、プロトコルや公式SDKレベルでの変更を拒否している。DocsGPTやLettaAIなどのベンダーは既にパッチを公開しており、Anthropicの参考実装のデフォルト動作は変わっていない。MCPはすでにAIエージェントが外部ツールを呼び出す事実標準となっており、OpenAI、Google、Microsoftも追随している。根本的な修正が行われない限り、公式SDKのデフォルト方式でSTDIOを受け入れるMCPサービスは、自分が一行もコードを書いていなくても攻撃の入口となる可能性がある。(出典:BlockBeats)