MCPパッケージセキュリティスキャンが、確認なしで広範な破壊的機能を明らかにする

セキュリティ研究者がnpm上の2,386のMCP（Model Context Protocol）パッケージをスキャンし、AIエージェントが外部ツールと連携する際の重大なセキュリティリスクを発見しました。MCPパッケージはClaude Codeが外部ツールに接続することを可能にし、インストールされるとシェル、ファイル、ネットワーク、環境変数を含む完全なシステムアクセス権を取得します。

スキャンからの主な発見

最も懸念される発見は：63.5%のパッケージが人間の確認を必要とせずに破壊的操作を公開していることです。これらの操作にはファイル削除、データベース削除、コードデプロイなどが含まれます。もし誰かがツールの応答に悪意のあるプロンプトを注入すると、AIエージェントは許可を求めることなくこれらの破壊的なアクションを実行します。

追加のセキュリティ問題

• 全体の49%のパッケージにセキュリティ問題があった
• 402件の重大度クリティカルの脆弱性
• 240件の重大度高の脆弱性
• 122のパッケージがnpm install時にコードを自動実行
• 実際の事例にはSSHキーの盗難、Unicodeプロンプトインジェクション、遅延型バックドアが含まれる

研究者は、すべての発見がマルウェアを表すわけではないと指摘しています—大半は「ガードレールのない危険な機能」です。しかし、63.5%のパッケージは「1回のプロンプトインジェクションで実際の被害をもたらす可能性がある」状態です。

検出と対応

スキャンツールは99.4%の精度と39.9%の再現率を達成しました—これは誤検知がほぼゼロであるが、まだすべてを捕捉できていないことを意味します。悪意のあるパターンは検出ルールに変換され、影響を受ける関係者に責任ある開示が行われました。

研究者はこれらの脅威を検出するためのオープンスタンダードとしてATR（Agent Threat Rules）を構築しました—61の検出ルールがMITライセンスで公開され、特定のツールに限定されていません。誰でもこれらのルールを使用してMCPパッケージをスキャンできます。

panguard.aiで何もインストールせずに任意のスキルをスキャンできます—GitHubのURLを貼り付けると3秒でレポートが表示されます。完全な研究レポートはpanguard.ai/research/mcp-ecosystem-scanで入手可能です。