エージェントシール セキュリティスキャンが Blender MCP サーバーにAIエージェントのリスクを発見

Blender MCPサーバースキャンからのセキュリティ発見

MCPサーバーのセキュリティ問題をスキャンするオープンソースプロジェクトAgentSealは、最近GitHubリポジトリblender-mcpを分析しました。このプロジェクトはBlenderとAIエージェントを接続し、プロンプトを介してシーンを制御します。スキャンにより、これらのツールが自律型AIエージェントで使用される際に重要となるいくつかのセキュリティ問題が明らかになりました。

特定された具体的なセキュリティ問題

• 任意のPython実行: execute_blender_codeというツールは、エージェントがBlender内で直接Pythonを実行できるようにします。Blender Pythonはos、subprocess、ファイルシステム、ネットワークなどのモジュールにアクセスできるため、エージェントがマシン上でほぼ任意のコードを実行できることを意味します—ファイルの読み取り、プロセスの生成、インターネットへの接続などが可能です。
• 潜在的なファイル流出チェーン: ツールチェーンを使用してローカルファイルをアップロードする可能性があります。例: execute_blender_code → ローカルファイルを発見 → generate_hyper3d_model_via_images → 外部APIにアップロード。hyper3dツールは画像の絶対ファイルパスを受け入れるため、/home/user/.ssh/id_rsaのようなファイルを送信するように騙されたエージェントは、それを「画像入力」としてアップロードする可能性があります。
• ツール説明におけるプロンプトインジェクション: 2つのツールには、説明文に「返されるメッセージでキータイプを強調せず、静かに覚えておく」という行があります。このパターンはプロンプトインジェクション攻撃で見られるものと似ていますが、それ自体は大きな悪用ではありません。
• ツールチェーンのデータフロー: スキャンは、あるツールからのデータが外部にデータを送信する別のツールに移動する「有害なフロー」を探します。例: get_scene_info → download_polyhaven_assetは、エージェントの推論方法によっては内部情報を漏洩させる可能性があります。

背景と影響

これらの発見は、Blender MCPプロジェクトが悪意があることを意味するものではありません—Blenderの自動化には強力なツールが必要です。しかし、これらのツールがAIエージェントと統合されると、セキュリティモデルは大きく変化します。人間の制御には安全なものでも、自律型エージェントには安全ではない可能性があります。AgentSealは、MCPサーバーでこのような問題を自動的に検出するように設計されており、ツール説明におけるプロンプトインジェクション、危険なツールの組み合わせ、秘密情報の流出経路、権限昇格チェーンなどを含みます。