セキュリティ監査により、AnthropicのMCP参照サーバーに脆弱性が発見され、幻覚ベースの脆弱性が導入される可能性が判明

MCPサーバーセキュリティ監査結果
100のModel Context Protocol(MCP)サーバーパッケージに対する包括的なセキュリティ監査により、重大なセキュリティ問題が明らかになりました。監査では、71%のサーバーがF評価を獲得し、A評価を受けたサーバーはゼロでした。これには、しばしば「ゴールドスタンダード」と見なされるAnthropic自身のリファレンス実装も含まれています。
幻覚ベースの脆弱性(HBV)
監査では、幻覚ベースの脆弱性と呼ばれる新たな脆弱性クラスが特定されました。MCPツールに曖昧な説明(「ファイルを管理する」など)がある場合、Claudeはパラメータを推測せざるを得ません。これにより、ツールの境界を判断しようとしてClaudeが「推論ループ」に入り、コンテキストウィンドウやメッセージ制限を消費しながら、セキュリティ上の脆弱性とトークンの浪費の両方が生じます。
具体的な発見事項
- リファレンスの罠:Anthropicが推奨する公式のGitHubおよびファイルシステムサーバーは、ベースラインセキュリティテストで0/100点を獲得しました。これらのサーバーは「無制限」の入力を許可しており、内部の安全ガードレールの欠如により、プロンプトされたエージェントがデータの削除や流出に騙される可能性があります。
- RCEクラスのリスク:監査では、以前にエコシステムに影響を与えたCVE-2025-68143と同様のRCE脆弱性の構造的前兆が特定されました。
- 認証の限界:OAuthが設定されていても、定義が不十分なツールは脆弱なままです。洗練されたプロンプトにより、Claudeは偶発的または意図的なデータ破壊のツールに変わる可能性があります。
保護の推奨事項
- サーバーを監査する:Anthropicの公式リポジトリにあるからといって、サーバーを盲信しないでください。
- マニフェストを強化する:すべてのツールがそのJSONスキーマに
minLength、maxLength、および厳格なpattern正規表現を持つようにしてください。 - スキャナーを実行する:オープンソースの監査ツールを使用してください:
npx @agentsid/scanner
重要なポイント
公式テンプレートは安全性よりも柔軟性を優先しているため、エージェント設定は「デフォルトで脆弱」である可能性が高いです。ツール定義を適切に強化することで、データを保護し、不要な推論ループを防いでトークン消費を削減することができます。
完全なホワイトペーパーと方法論は以下で入手可能です:https://github.com/stevenkozeniesky02/agentsid-scanner/blob/master/docs/state-of-agent-security-2026.md
📖 Read the full source: r/ClaudeAI
👀 See Also

OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。
OpenClaw 2026.3.28は、Ant AI Security Labによって発見された8つのセキュリティ脆弱性にパッチを適用しました。これには、/pair approveを介した重大な権限昇格と、メッセージツールにおける高深刻度のサンドボックス脱出が含まれます。

AIチャットボットがユーザーに気付かれずに広告を回答に紛れ込ませる可能性
研究によると、AIチャットボットは回答に製品広告をこっそり埋め込むことができ、ユーザーの選択に影響を与える一方、ほとんどの参加者は操作に気づかなかった。この研究では、カスタムチャットボットを使用してその効果を実証した。

カスタムAIエージェント向けのOpenClawコンポーネント抽出のセキュリティ分析
開発者がOpenClawのソースコードを分析し、カスタムAIエージェントで安全に利用可能なコンポーネントを特定しました。Lethal Quartetフレームワークを用いた評価により、Semantic SnapshotsやBrowserClawなどのコンポーネントに重大なセキュリティリスクが存在することが明らかになりました。

MCPパッケージセキュリティスキャンが、確認なしで広範な破壊的機能を明らかにする
npm上の2,386のMCPパッケージをセキュリティスキャンした結果、63.5%がファイル削除やデータベース削除などの破壊的操作を人間の確認なしに公開していることが判明しました。研究者は全体の49%にセキュリティ問題があり、402件の重大度クリティカル、240件の重大度高の脆弱性を発見しました。