セキュリティ監査により、AnthropicのMCP参照サーバーに脆弱性が発見され、幻覚ベースの脆弱性が導入される可能性が判明

MCPサーバーセキュリティ監査結果
100のModel Context Protocol(MCP)サーバーパッケージに対する包括的なセキュリティ監査により、重大なセキュリティ問題が明らかになりました。監査では、71%のサーバーがF評価を獲得し、A評価を受けたサーバーはゼロでした。これには、しばしば「ゴールドスタンダード」と見なされるAnthropic自身のリファレンス実装も含まれています。
幻覚ベースの脆弱性(HBV)
監査では、幻覚ベースの脆弱性と呼ばれる新たな脆弱性クラスが特定されました。MCPツールに曖昧な説明(「ファイルを管理する」など)がある場合、Claudeはパラメータを推測せざるを得ません。これにより、ツールの境界を判断しようとしてClaudeが「推論ループ」に入り、コンテキストウィンドウやメッセージ制限を消費しながら、セキュリティ上の脆弱性とトークンの浪費の両方が生じます。
具体的な発見事項
- リファレンスの罠:Anthropicが推奨する公式のGitHubおよびファイルシステムサーバーは、ベースラインセキュリティテストで0/100点を獲得しました。これらのサーバーは「無制限」の入力を許可しており、内部の安全ガードレールの欠如により、プロンプトされたエージェントがデータの削除や流出に騙される可能性があります。
- RCEクラスのリスク:監査では、以前にエコシステムに影響を与えたCVE-2025-68143と同様のRCE脆弱性の構造的前兆が特定されました。
- 認証の限界:OAuthが設定されていても、定義が不十分なツールは脆弱なままです。洗練されたプロンプトにより、Claudeは偶発的または意図的なデータ破壊のツールに変わる可能性があります。
保護の推奨事項
- サーバーを監査する:Anthropicの公式リポジトリにあるからといって、サーバーを盲信しないでください。
- マニフェストを強化する:すべてのツールがそのJSONスキーマに
minLength、maxLength、および厳格なpattern正規表現を持つようにしてください。 - スキャナーを実行する:オープンソースの監査ツールを使用してください:
npx @agentsid/scanner
重要なポイント
公式テンプレートは安全性よりも柔軟性を優先しているため、エージェント設定は「デフォルトで脆弱」である可能性が高いです。ツール定義を適切に強化することで、データを保護し、不要な推論ループを防いでトークン消費を削減することができます。
完全なホワイトペーパーと方法論は以下で入手可能です:https://github.com/stevenkozeniesky02/agentsid-scanner/blob/master/docs/state-of-agent-security-2026.md
📖 Read the full source: r/ClaudeAI
👀 See Also

Anthropicは、中国のAI研究所によるClaudeへの産業規模の蒸留攻撃を報告しています。
Anthropicは、DeepSeek、Moonshot、MiniMaxという3つの中国AI企業が24,000以上の不正アカウントを作成し、Claudeとのやり取りを1,600万回以上行い、体系的な蒸留攻撃を通じてその推論能力を抽出していたことを検出しました。

TEEエンブレーブを使用した暗号化LLM推論のためのOpenClawの設定
開発者が、OpenClawをOneraのAMD SEV-SNP信頼実行環境で使用し、エンドツーエンド暗号化されたLLM推論を実現するための設定方法を共有しています。設定例と技術的なトレードオフを含みます。

セキュリティベンチマーク:211の敵対的プローブでテストされた10のLLM
あるセキュリティ研究者が10種類のLLMに対して211種類の敵対的攻撃をテストした結果、抽出耐性は平均85%である一方、インジェクション耐性は平均46.2%に留まりました。すべてのモデルがデリミタ、ディストラクタ、スタイルインジェクション攻撃に対して完全に失敗しました。

OpenClawセキュリティ:AIエージェントを保護する13の実践的ステップ
Redditの投稿では、OpenClawのインストールに関する13のセキュリティ対策が概説されています。これには、別のマシンでの実行、ネットワーク分離のためのTailscaleの使用、Dockerでのサブエージェントのサンドボックス化、ユーザーアクセスの許可リストの設定などが含まれます。