セキュリティ監査により、AnthropicのMCP参照サーバーに脆弱性が発見され、幻覚ベースの脆弱性が導入される可能性が判明
MCPサーバーセキュリティ監査結果
100のModel Context Protocol(MCP)サーバーパッケージに対する包括的なセキュリティ監査により、重大なセキュリティ問題が明らかになりました。監査では、71%のサーバーがF評価を獲得し、A評価を受けたサーバーはゼロでした。これには、しばしば「ゴールドスタンダード」と見なされるAnthropic自身のリファレンス実装も含まれています。
幻覚ベースの脆弱性(HBV)
監査では、幻覚ベースの脆弱性と呼ばれる新たな脆弱性クラスが特定されました。MCPツールに曖昧な説明(「ファイルを管理する」など)がある場合、Claudeはパラメータを推測せざるを得ません。これにより、ツールの境界を判断しようとしてClaudeが「推論ループ」に入り、コンテキストウィンドウやメッセージ制限を消費しながら、セキュリティ上の脆弱性とトークンの浪費の両方が生じます。
具体的な発見事項
- リファレンスの罠:Anthropicが推奨する公式のGitHubおよびファイルシステムサーバーは、ベースラインセキュリティテストで0/100点を獲得しました。これらのサーバーは「無制限」の入力を許可しており、内部の安全ガードレールの欠如により、プロンプトされたエージェントがデータの削除や流出に騙される可能性があります。
- RCEクラスのリスク:監査では、以前にエコシステムに影響を与えたCVE-2025-68143と同様のRCE脆弱性の構造的前兆が特定されました。
- 認証の限界:OAuthが設定されていても、定義が不十分なツールは脆弱なままです。洗練されたプロンプトにより、Claudeは偶発的または意図的なデータ破壊のツールに変わる可能性があります。
保護の推奨事項
- サーバーを監査する:Anthropicの公式リポジトリにあるからといって、サーバーを盲信しないでください。
- マニフェストを強化する:すべてのツールがそのJSONスキーマに
minLength、maxLength、および厳格なpattern正規表現を持つようにしてください。 - スキャナーを実行する:オープンソースの監査ツールを使用してください:
npx @agentsid/scanner
重要なポイント
公式テンプレートは安全性よりも柔軟性を優先しているため、エージェント設定は「デフォルトで脆弱」である可能性が高いです。ツール定義を適切に強化することで、データを保護し、不要な推論ループを防いでトークン消費を削減することができます。
完全なホワイトペーパーと方法論は以下で入手可能です:https://github.com/stevenkozeniesky02/agentsid-scanner/blob/master/docs/state-of-agent-security-2026.md
📖 Read the full source: r/ClaudeAI
👀 See Also
arifOS:OpenClawツールセキュリティのための1500万ドルMCPガバナンスカーネル
arifOSは軽量なMCPサーバーで、OpenClawツール呼び出しを傍受し、000-999でスコアリングし、ファイルシステム、API、データベースに到達する前に13の厳格なセキュリティフロアで安全でないアクションをブロックします。
公開されたOpenClawツールのライブダッシュボード
MoltbotやClawdbotなどのOpenClawツールの公開制御パネルを表示するライブダッシュボードを紹介します。
Claude Code CVE-2026-39861: シンボリックリンク経由によるサンドボックスエスケープ
Claude Code のサンドボックスにおける深刻な脆弱性により、シンボリックリンクの追跡を介してワークスペース外への任意のファイル書き込みが可能になり、コード実行につながる可能性があります。
AIエージェントによるデータ漏洩リスクを低減する2つのアプローチ
Redditの投稿では、開発者がAIエージェントのデータの行き先を制御する2つの方法が示されています:OpenAIやAnthropicのようなプロバイダーと直接APIキーを使用して中間業者を排除する方法、またはOllamaやOpenClawのようなツールでオープンソースモデルをローカルで実行する方法です。