MCPパッケージセキュリティスキャンが、確認なしで広範な破壊的機能を明らかにする

セキュリティ研究者がnpm上の2,386のMCP(Model Context Protocol)パッケージをスキャンし、AIエージェントが外部ツールと連携する際の重大なセキュリティリスクを発見しました。MCPパッケージはClaude Codeが外部ツールに接続することを可能にし、インストールされるとシェル、ファイル、ネットワーク、環境変数を含む完全なシステムアクセス権を取得します。
スキャンからの主な発見
最も懸念される発見は:63.5%のパッケージが人間の確認を必要とせずに破壊的操作を公開していることです。これらの操作にはファイル削除、データベース削除、コードデプロイなどが含まれます。もし誰かがツールの応答に悪意のあるプロンプトを注入すると、AIエージェントは許可を求めることなくこれらの破壊的なアクションを実行します。
追加のセキュリティ問題
- 全体の49%のパッケージにセキュリティ問題があった
- 402件の重大度クリティカルの脆弱性
- 240件の重大度高の脆弱性
- 122のパッケージが
npm install時にコードを自動実行 - 実際の事例にはSSHキーの盗難、Unicodeプロンプトインジェクション、遅延型バックドアが含まれる
研究者は、すべての発見がマルウェアを表すわけではないと指摘しています—大半は「ガードレールのない危険な機能」です。しかし、63.5%のパッケージは「1回のプロンプトインジェクションで実際の被害をもたらす可能性がある」状態です。
検出と対応
スキャンツールは99.4%の精度と39.9%の再現率を達成しました—これは誤検知がほぼゼロであるが、まだすべてを捕捉できていないことを意味します。悪意のあるパターンは検出ルールに変換され、影響を受ける関係者に責任ある開示が行われました。
研究者はこれらの脅威を検出するためのオープンスタンダードとしてATR(Agent Threat Rules)を構築しました—61の検出ルールがMITライセンスで公開され、特定のツールに限定されていません。誰でもこれらのルールを使用してMCPパッケージをスキャンできます。
panguard.aiで何もインストールせずに任意のスキルをスキャンできます—GitHubのURLを貼り付けると3秒でレポートが表示されます。完全な研究レポートはpanguard.ai/research/mcp-ecosystem-scanで入手可能です。
📖 Read the full source: r/ClaudeAI
👀 See Also

Microsoftハッキング:GitHubリポジトリに仕込まれたマルウェアがClaudeとGeminiユーザーを標的に
マイクロソフトは、ハッカーがAIコーディングエージェント(Claude CodeやGemini CLIなど)を標的に、認証情報を盗むマルウェアを仕込んだため、70以上のGitHubリポジトリを閉鎖した。

潜在的なClaudeセキュリティインシデント:自己送信パスワードアラートと不審な.NETプロセス
ユーザーがClaudeにログイン後、自身のアカウントから送信されたように見える不審なパスワードリセット通知を受け取ったと報告。数分後にメールが消失し、異常な.NETプロセスがシステムシャットダウンを妨げた。

LiteLLM v1.82.8の侵害は、永続的な実行のために.pthファイルを使用します
LiteLLM v1.82.8がPyPIで侵害され、.pthファイルを含んでおり、このファイルはライブラリがインポートされたときだけでなく、すべてのPythonプロセスの起動時に任意のコードを実行します。ペイロードは、LiteLLMが推移的依存関係としてインストールされ、直接使用されない場合でも実行されます。

Google TIG、初のAI生成ゼロデイエクスプロイトを実環境で報告
Google脅威インテリジェンスグループは、AIで開発されたと考えられるゼロデイエクスプロイトを使用する脅威アクターを特定しました。これは、AIがゼロデイ脆弱性の悪用に攻撃的に使用された初めての観測事例です。