Infosecurity Magazine は2026年4月16日、Anthropic が開発したオープンソース標準 Model Context Protocol(MCP)にシステミックな脆弱性が存在すると報じた。
Ox Security の研究者らが4月15日に公開したレポートによれば、MCP の STDIO インターフェイスは、プロセス起動の成否に関わらずコマンドを実行する設計となっており、任意コマンド実行を通じて機密ユーザーデータ、内部データベース、API キー、チャット履歴が攻撃者に渡る恐れがある。影響は200を超えるオープンソースプロジェクト、1億5000万ダウンロード、7,000以上の公開サーバー、最大20万件のインスタンスに及ぶ。
当該挙動は Python、TypeScript、Java、Rust の Anthropic 公式 MCP SDK に共通する。Anthropic は設計通りの挙動とし、プロトコル変更を拒否したという。Ox Security は30件超の責任ある開示と10件超の CVE を発見している。Anthropicは2024年11月にMCPを公開した開発元であるが、2025年12月にはAAIFへ寄贈され、現在はより中立的なガバナンス体制に移行している。
From: 
Systemic Flaw in MCP Protocol Could Expose 150 Million Downloads
【編集部解説】
本件は単なる「ライブラリの不具合」ではなく、生成AIエージェント時代の根幹に関わるセキュリティ哲学の対立が表面化した事例として捉える必要があると考えています。
まず MCP(Model Context Protocol)について簡単に整理しておきます。MCP は2024年11月に Anthropic がオープンソースで公開したプロトコルで、AIモデルがファイル、データベース、外部APIといった現実世界のツールに「手」を伸ばすための共通規格です。USB-C が周辺機器接続を統一したのと同様の役割をAIエージェントの世界で果たすことが期待されており、現在では OpenAI や Google の製品にも採用が広がっています。
問題が指摘された STDIO(標準入出力)インターフェイスは、ローカル環境で MCP サーバーを子プロセスとして起動する仕組みです。Ox Security の研究者らが見つけたのは、「正しいサーバープロセスが起動したかを検証する前に、渡されたコマンドそのものが実行されてしまう」という挙動でした。海外メディアの一部はこれを “execute first, validate never”(まず実行、検証は決してせず)と表現しています。本来あるべき順番が逆である、という設計思想レベルの問題と言えます。
影響の射程はかなり広範です。原報道は4言語の SDK(Python, TypeScript, Java, Rust)を挙げていますが、複数の専門メディアによれば、実際の Anthropic 公式 SDK は Kotlin、C#、Go、Ruby、Swift、PHP を含む10言語に及びます。加えて Ox Security は11の MCP マーケットプレイスに偽の悪性 MCP サーバーを試験投稿したところ、9つが審査なく受理し、ブロックしたのは GitHub の管理レジストリのみだったとも報告しています。流通インフラ側の検証も追いついていない実態が浮き彫りになっています。
論点の核心は「責任の所在」です。Anthropic 側は「これは仕様通りの動作」「STDIO実行モデルは安全なデフォルトであり、入力のサニタイゼーションは開発者側の責任」とする姿勢を維持しています。対して Ox Security は、これまでのコミュニティのセキュリティ対応実績を踏まえれば、個々の開発者にすべての責任を委ねるアプローチには無理があると反論しています。これは、プラットフォーム提供者とアプリケーション開発者のどちらが「安全な土台」を担保すべきかという、ソフトウェア産業全体に通底する古典的な論争の最新版とも言えるでしょう。
興味深いのは、Anthropic が今月初めに Project Glasswing(Claude Mythos Preview を活用して、世界の重要ソフトウェアの安全性向上を支援する取り組み)を発表したばかりだったという点です。AIで他社プロダクトの脆弱性を見つける活動を進める一方で、自社プロトコルへの設計上の指摘には「仕様」と返す——この立ち位置への評価は、AIエコシステム全体の信頼形成に少なからず影響を与えそうです。
技術的なポジティブ面にも触れておきましょう。MCP の急速な普及は、AIエージェントが業務や開発のワークフローに深く統合される未来を確実に近づけました。共通プロトコルがあるからこそ、企業は自社データに安全にAIを接続でき、開発者はベンダーロックインを避けながらエージェントを構築できます。この恩恵は計り知れません。一方で、便益が大きいプロトコルほど、その設計上の欠陥が広域に伝播するという「サプライチェーンとしての性質」も強まります。本件はそのトレードオフが実証された最初の大きな事案だと位置づけられます。
長期的視点で見れば、本件はAIエージェントが「読む・書く」段階から「実行する・行動する」段階へと進化した瞬間に、セキュリティ設計の不備がそのまま現実世界のリスクに変換される構造を露呈したものと言えます。EUのAI法や日本のAI事業者ガイドラインでも、エージェント型AIへのアカウンタビリティ要件は今後さらに具体化されていく流れですが、議論はもはや「モデルの安全性」だけでは完結しません。モデルと外部世界をつなぐプロトコルの安全性まで含めて再設計する必要性が、本件によって明確に提起されたと見るべきでしょう。
日本の読者にとっても本件は無関係ではありません。社内アシスタントとして MCP 対応のAIツールを採用する企業が増えつつある現在、「OSSベースだから安心」「Anthropic 公式SDKだから安心」という前提を一度立ち止まって見直す好機とも言えます。STDIO サーバーをパブリックIPに露出させない、ユーザー入力を信頼しない、プロセスをサンドボックス化する——こうした基本動作の再点検が、当面の現実的な対応策となります。
【用語解説】
Model Context Protocol(MCP)
Anthropic が2024年11月に公開したオープンソースのプロトコルである。
STDIO(標準入出力)インターフェイス
プログラム間の最も基本的な通信手段である。MCP においては、ローカル環境で MCP サーバーを子プロセスとして起動するためのトランスポート方式として用いられる。
SDK(Software Development Kit)
ソフトウェアを開発するために必要なライブラリ、ドキュメント、サンプルコード等をまとめたパッケージである。MCP の場合、Anthropic は10言語(Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust)の公式 SDK を提供している。
サニタイゼーション(Sanitization)
ユーザーから渡される入力値に含まれる、悪意ある可能性のある文字列やコマンドを除去・無害化する処理である。
任意コマンド実行(Arbitrary Command Execution)
攻撃者が意図する任意のOSコマンドを、対象システム上で実行できてしまう状態を指す。リモートで成立する場合は RCE(Remote Code Execution)と呼ばれ、深刻度は通常「Critical(緊急)」と評価される。
CVE(Common Vulnerabilities and Exposures)
公開されたセキュリティ脆弱性に一意の識別番号を付与する国際的な共通管理体系である。
サンドボックス化(Sandboxing)
プロセスの実行権限を意図的に制限し、システム全体への影響を遮断する隔離手法である。仮にプロセスが乗っ取られても、被害範囲を最小限にとどめる目的で用いられる。
【参考リンク】
Anthropic 公式サイト(外部)
Claude シリーズを開発する米国 AI 企業の公式サイトで、2024年11月の MCP 発表元でもある一次情報源。
Model Context Protocol 公式ドキュメント(外部)
MCP の仕様書、SDK、リファレンス実装が集約された公式ポータル。技術的詳細を確認したい開発者向け。
Project Glasswing(Anthropic 公式)(外部)
Claude Mythos Preview を活用して重要インフラの脆弱性を発見・修正する Anthropic 主導の業界連携プロジェクト。
OX Security 公式サイト(外部)
今回のレポートを公開したイスラエル発の応用セキュリティ企業。ASPM 領域でのソリューションを提供している。
Infosecurity Magazine(外部)
Reed Exhibitions 傘下の英国発サイバーセキュリティ専門メディア。本件の元記事を掲載した媒体である。
【参考記事】
Anthropic won’t own MCP ‘design flaw’ putting 200K servers at risk(The Register)(外部)
研究時系列(2025年11月開始)、研究者実名、Windsurf 向け CVE-2026-30615 等を網羅した詳細記事。
Anthropic’s MCP Design Flaw Enables Remote Code Execution Across 200,000+ AI Servers(Cyber Kendra)(外部)
11マーケットプレイスへの PoC 投稿実験結果や、10言語 SDK 一覧、個別 CVE 番号など独自データを掲載。
Ox Security Report: Anthropic MCP is Execute First, Validate Never(flyingpenguin)(外部)
Python SDK 7300万 DL 等、ダウンロード数の内訳を最も詳細に伝えた分析記事。
‘This is not a traditional coding error’: Experts flag potentially critical security issues at the heart of Anthropic’s MCP(TechRadar)(外部)
4種類の攻撃発火点と、6本番プラットフォームでの実証成功を伝える大手テック紙の記事。
Donating the Model Context Protocol and establishing the Agentic AI Foundation(Anthropic 公式ニュース)(外部)
MCP の AAIF 寄贈に関する Anthropic 公式の一次情報。共同設立者と支援企業を明示している。
MCP joins the Agentic AI Foundation(Model Context Protocol 公式ブログ)(外部)
リードコアメンテナによる2025年12月9日付の寄贈アナウンス。新ガバナンス体制を確認できる。
Linux Foundation Announces the Formation of the Agentic AI Foundation (AAIF)(Linux Foundation)(外部)
受け入れ側 Linux Foundation の公式発表。発表日と Platinum メンバー一覧を確認できる一次情報。
【編集部後記】
AIエージェントが「答える存在」から「行動する存在」へと進化していく中で、その安全性を支える土台もまた、私たち全員で考えていく段階に入ったのかもしれません。プラットフォーム提供者と開発者、どちらが「安全な床」を担保すべきなのか——みなさんの現場やお使いのツールでは、どのように線引きされているでしょうか。便利さの裏側で動いているプロトコルに少し目を向けてみると、AI時代の風景がまた違って見えてくるかもしれませんね。
