Anthropicが提唱するAIエージェントとツールの連携標準「Model Context Protocol(MCP)」で、OX Securityが危険な設計に起因する任意コマンド実行の問題を指摘しました。MCPの標準的な接続方式であるSTDIOは、受け取ったOSコマンドを無加工で実行し、設定とコマンドの境界も設けていないとOX Securityは説明しています。
OX Securityはエコシステムを調査し、公的IPでSTDIOが有効なサーバを約7,000件確認し、比率から脆弱なインスタンスが最大約20万件に達すると推計しました。さらに、LiteLLMやLangFlow、Flowiseなどの複数の本番環境で任意コマンド実行を実証し、10件超のCVE(高・重大)を報告したとしています。
Anthropicはこの挙動は「設計上の仕様」であり、STDIOの実行モデルは安全なデフォルト、入力のサニタイズは開発者側の責任だとしています。一方でOX Securityは、実装者に入力浄化を期待するのは問題だとして、プロトコルレベルでの対策不足を批判しました。
セキュリティ専門家からは、MCPのSTDIOはコネクタではなく特権的な実行面であり、企業はデフォルト拒否やサンドボックス化を前提に扱うべきだとの見解も出ています。専門家は、製品個別のパッチだけでは不十分で、各MCP設定を信頼できない実行面として棚卸しし隔離する対応を求めています。
参照元:2026/05/02 「200,000 MCP servers expose a command execution flaw that Anthropic calls a feature」 https://venturebeat.com/security/mcp-stdio-flaw-200000-ai-agent-servers-exposed-ox-security-audit
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント