◈ AIセキュリティ・インテリジェンス ← デイリーフィード
脆弱性  ·  2026-05-03

モデルコンテキストプロトコルSTDIO トランスポートの系統的コマンド実行脆弱性が200,000台のAIエージェントサーバーに影響

脆弱性High 影響度GlobalMultiple: CVE-2026-7644 (NextChat, CVSS 7.3), CVE-2026-30615 (Windsurf), CVE-2026-7645, CVE-2026-7600, CVE-2026-7627, CVE-2026-7628, CVE-2026-7642, CVE-2026-7653, and 10+ additional CVEs across AI frameworks
技術的な説明
OX Securityの研究者は、モデルコンテキストプロトコル(MCP)のSTDIOトランスポート(AIエージェントをローカルツールに接続するデフォルト方法)が、受け取ったすべてのオペレーティングシステムコマンドをサニタイズなしで実行することを発見しました。設定とコマンドの間に実行境界が存在しません。悪意あるコマンドは、コマンドが既に実行された後でのみエラーを返します。OX Securityはエコシステムをスキャンし、STDIOトランスポートがアクティブなパブリックIP上の7,000台のサーバーを発見し、推定200,000台の脆弱なインスタンスに外挿しました。研究チームは6つのライブプロダクションプラットフォームで任意のコマンド実行を確認し、LiteLLM、LangFlow、Flowise、Windsurf、Langchain-Chatchat、Bisheng、DocsGPT、GPT Researcher、Agent Zero、LettaAI他にわたり高またはクリティカルと評価された10を超えるCVEを生成しました。
攻撃経路
4つのエクスプロイト族が特定されました:(1)AIフレームワークのウェブインターフェース経由の認証なしコマンドインジェクション(LangFlowおよびLiteLLMに対して実証されました);(2)OXがFlowise およびUpsonicのようなツールで引数インジェクション(npx -c)経由でコマンドホワイトリストをバイパスしたハードニングバイパス;(3)AIコーディングIDEでの無操作プロンプトインジェクション(悪意あるHTMLがローカルMCP設定ファイルを変更する—Windsurf(CVE-2026-30615)はゼロユーザーインタラクションが必要でしたが、Cursor、Claude Code、およびGemini-CLIはユーザー承認が必要ですが、UIで実行の結果を表示しません);(4)MCPレジストリ経由の悪意あるパッケージ配布(OXは11のレジストリに良性の概念実証を送信し、9つがセキュリティレビューなしでそれを受け入れました)。このセキュリティ侵害はコーディングバグではなく、Anthropicの MCP仕様の設計デフォルトで、すべての公式言語SDK(Python、TypeScript、Java、Rust)に伝播しました。
影響を受けるシステム
デフォルトSTDIOトランスポートを使用するすべてのMCPデプロイメント。確認された脆弱な製品は以下の通りです:LiteLLM(パッチ済み)、LangFlow(部分的にパッチ済み)、Flowise(ハードニングバイパス)、Windsurf(CVE-2026-30615パッチ済み)、Langchain-Chatchat、Bisheng、DocsGPT、GPT Researcher、Agent Zero、LettaAI、Upsonic、Cursor、Claude Code、Gemini-CLI、NextChat(ChatGPTNextWeb、CVE-2026-7644)、および少なくとも7つの追加の単一著者GitHubの MCPサーバー。Anthropicは動作が設計通りであることを確認し、プロトコルの変更を拒否し、STDIOの実行モデルを入力サニタイズを開発者の責任とするセキュアなデフォルトとして特徴付けました。OX Securityは、200,000人の開発者が入力をサニタイズすることを期待することが系統的問題であるとカウンター主張しました。クリティカルなギャップ:すべてのベンダーパッチが自社製品を修正しますが、MCPプロトコルのSTDIO動作を変更するパッチはありません。セキュリティディレクターが今日LiteLLMをパッチし、明日新しいMCP STDIOサーバーを設定すると、同じセキュアでないデフォルトを継承します。
緩和策
即座:MCP STDIOをコネクターではなく特権実行サーフェスとして扱う。デフォルト拒否ポリシーを適用し、特定のコマンドをホワイトリストに登録し、サンドボックスコントロールをデプロイし、下流入力検証がスケールで保持されると仮定するのを停止してください。IDEデプロイメント(Cursor、Claude Code、Gemini-CLI、Windsurf)の場合:ベンダーがプロンプトインジェクションからコンフィグ変更チェーンへのパッチを適用したことを確認する;ユーザー承認の前にUI内で設定変更が実行の結果を表示するかどうかを確認してください。AIフレームワークデプロイメント(LiteLLM、LangFlow、Flowise等)の場合:ベンダーパッチを即座に適用しますが、パッチが製品固有のバグを修正し、プロトコル設計ではないことを認識してください。MCPデプロイメント監査を実施:環境内のすべてのSTDIOトランスポートを特定し、そのOSレベルアクセスをマップし、最小権限とネットワークセグメンテーションを適用してください。長期的:実行可能な場合はSSE(サーバー送信イベント)トランスポートへの移行を検討してください(ただし、これは汎用的にはサポートされていません)。開発者がコミュニティサーバーのインストールを許可する場合、MCPレジストリ送信を監視してください;11のレジストリのうち9つはセキュリティレビューなしに概念実証を受け入れました。
出典
VentureBeat SecurityOX Security ResearchNVD CVE-2026-7644
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →