MCPサーバーの信頼性とセキュリティに関する調査結果の独立報告書

MCPサーバーに関する初の独立したセキュリティ・信頼性レポートが公開され、2,181のリモートMCPサーバーエンドポイントからのデータを分析しました。このレポートは、公開アクセス可能なエンドポイントの監視を通じて収集された信頼性、セキュリティ、保守性の指標をカバーしています。
分析からの主な発見
- リモートMCPサーバーエンドポイントの52%が停止状態
- 300サーバーは認証が一切なく、あらゆるエージェントが接続可能
- 51%はCORS(クロスオリジンリソース共有)設定が広く開放されている
- 金融カテゴリーは機密データを扱うにもかかわらず、信頼性スコアが最低
- GitHubリポジトリを持つサーバーのうち、過去30日間にコードをコミットしたのは42%のみ
利用可能なリソース
詳細な方法論を含む完全なレポートはyellowmcp.com/reportで利用可能です。開発者はyellowmcp.com/testのツールを使用して自身のMCPサーバーをテストできます。
📖 Read the full source: r/ClaudeAI
👀 See Also

悪意のあるPyTorch Lightningパッケージが認証情報を窃取し、npmパッケージにワーム感染
PyPIパッケージ「lightning」のバージョン2.6.2および2.6.3には、認証情報、トークン、クラウドシークレットを盗み、JavaScriptペイロードを注入してnpmパッケージに拡散する、Shai-Huludをテーマにしたマルウェアが含まれています。

開発者がOpenClawセキュリティ向けにFirecrackerマイクロVMサンドボックスを構築
LLMのセキュリティを懸念する開発者が、Firecracker microVMを使用してベアメタルサンドボックスを構築し、OpenClawスクリプトを隔離しました。各スクリプトは独自のLinuxカーネルで実行され、デフォルトで128MBのRAM上限が設定され、ネットワークアクセスはありません。

オープンソースAIツールは「透明性による幻想的安全」を通じてセキュリティリスクをもたらす
Redditの投稿では、オープンソースのAIエージェントやツールに偽装したマルウェアについて警告しています。GitHub上にあるため安全だとユーザーが思い込んでいる大規模なコードベースに悪意のあるコードが隠されている可能性があります。この投稿では、'バイブコーディング'や自律型AIエージェントが、ユーザーにレビューなしで未知のプログラムを実行するよう仕向けている状況を説明しています。

OpenClawセキュリティ:AIエージェントを保護する13の実践的ステップ
Redditの投稿では、OpenClawのインストールに関する13のセキュリティ対策が概説されています。これには、別のマシンでの実行、ネットワーク分離のためのTailscaleの使用、Dockerでのサブエージェントのサンドボックス化、ユーザーアクセスの許可リストの設定などが含まれます。