技術的な説明
調査によると、公開されているMCPサーバーの43%がコマンド実行を悪用される可能性があり、約21,000の露出したAIエージェントインスタンスが検出されました。攻撃者はMCPツールメタデータ(説明、パラメータ)に命令を注入し、エージェントが暗黙的に信頼します。OpenClawクラスの攻撃は、暗黙的なlocalhostトラストを介して開発者エージェントをハイジャックします。
攻撃経路
ツール説明における悪意のあるメタデータ。隠された命令を埋め込んだ中毒されたツール出力。localhostトラストのWebベースの悪用。MCPツールライブラリのサプライチェーン侵害。
影響を受けるシステム
MCPまたは同様のツール呼び出しフレームワークを使用したエージェンティックAIデプロイメント。特に開発者環境および幅広いツールアクセスを備えたエンタープライズアシスタント。
緩和策
MCPサーバー実装の強化。ツールメタデータの監査/サンドボックス化。命令/データの境界の実施。暗黙的なlocalhostトラストの削除。特権ツールの明示的な認可の要求。ツール呼び出しの異常を監視。