技術的な説明
研究により、公開されているMCPサーバーの43%がコマンド実行のために悪用可能であることが示されています。約21,000の露出したAIエージェントインスタンスが検出されました。攻撃者はエージェントが暗黙的に信頼するMCPツールメタデータ(説明、パラメータ)に指令を注入します。OpenClawクラスの攻撃は暗黙的なlocalhostトラストを介して開発者エージェントをハイジャックします。
攻撃経路
ツール説明内の悪意あるメタデータ;隠された指令を埋め込んだ中毒ツール出力;localhostトラストのウェブベース悪用;MCPツールライブラリのサプライチェーン侵害。
影響を受けるシステム
MCP or 類似のツール呼び出しフレームワークを使用するエージェンティックAIデプロイメント(特に開発者環境と幅広いツールアクセスを持つエンタープライズアシスタント)。
緩和策
MCPサーバー実装の強化;ツールメタデータの監査/サンドボックス化;指令/データ境界の強制;暗黙的なlocalhostトラストの削除;特権ツールに対する明示的な認可の要求;ツール呼び出し異常の監視。