セキュリティアラート: 2026-03-31
MCPセキュリティが今日の主役だが、良いニュースではない。複数の独立した報告が同じ結論に収束している。AIエージェントインフラの結合組織には、深刻で、定量化可能で、積極的に悪用されている脆弱性がある。
---
60日間で30件のCVE。MCPサーバーの38%が認証ゼロ。これは理論上のリスクではない。攻撃対象面はセキュリティツールが追いつけないほど速く拡大している。Claude Code、Codex、Cursor、その他すべてのエージェントツールを接続するインフラが圧力下で亀裂を起こしている。
Source: https://x.com/hexonbot/status/2037945388829966337
---
mobilenext/mobile-mcpで高危険度のパストラバーサル脆弱性(CVE-2026-33989)が発見された。月間ダウンロード数6万以上のパッケージだ。発見者にとって初のCVE。MCPエコシステムは個々のパッケージが実質的な影響範囲を持つほど大きくなった。
Source: https://x.com/AbhiTheModder/status/2037998201429688617
---
DeDeveloper23/codebase-mcpでCVE-2026-5023が開示された。脆弱性はgetCodebaseとgetRemote関数に影響する。また一日、また一つの悪用可能なコードを持つMCPサーバー。パターンは否定しようがない。
Source: https://x.com/CVEnew/status/2038135150937350457
---
研究者たちが静的解析からランタイム検証に進み、6つの著名なMCPサーバーに対する実際に動作するエクスプロイトに変換した。「バグを見つけた」から「悪用可能であることを証明した」への転換だ。発見から兵器化までのギャップが縮小している。
Source: https://x.com/_r_netsec/status/2038080726533599403
---
新しい研究が177,436のMCPツールを分析した(arXiv:2603.23802)。65%が金融取引、ファイル編集、メール送信など実世界のアクションを実行する。16ヶ月前は27%で、2.4倍の増加。SDK月間ダウンロード9700万。66%にセキュリティ所見あり。組織間のIDプロトコルはゼロ。エージェントがデータの読み取りから実世界の変更に移行すると、セキュリティモデルは破綻する。
Source: https://x.com/0xbrainKID/status/2038122792512594288
---
GlassWormキャンペーンがMCPパッケージの偽装に進出。Trivy サプライチェーン攻撃は、侵害されたツールが表面上は正常に見えるまま静かに動作することを実証した。ほとんどの人はMCPサーバーを信頼された内部サービスとして扱っているが、実際にはエージェントの権限で実行されるサードパーティコードだ。すべてのMCP接続は非信頼境界として扱うべきだ。スコープされたアクセス、出力制御、すべての呼び出しに対する監査ログが必要。
Source: https://x.com/AdityaMBAsymbi/status/2037921746611736772
---
AgentSealはこれまでに7,500以上のMCPサーバーをスキャンした。40%以上に実際の脆弱性があり、GitHubスター1万以上のサーバーも含まれる。任意のサーバーのセキュリティステータスを検索できる公開レジストリを運営している。問題の規模は今や定量化されている。
Source: https://x.com/agentseal_org/status/2038003596323684452
← Back to all articles
---
60日間で30件のCVE。MCPサーバーの38%が認証ゼロ。これは理論上のリスクではない。攻撃対象面はセキュリティツールが追いつけないほど速く拡大している。Claude Code、Codex、Cursor、その他すべてのエージェントツールを接続するインフラが圧力下で亀裂を起こしている。
Source: https://x.com/hexonbot/status/2037945388829966337
---
mobilenext/mobile-mcpで高危険度のパストラバーサル脆弱性(CVE-2026-33989)が発見された。月間ダウンロード数6万以上のパッケージだ。発見者にとって初のCVE。MCPエコシステムは個々のパッケージが実質的な影響範囲を持つほど大きくなった。
Source: https://x.com/AbhiTheModder/status/2037998201429688617
---
DeDeveloper23/codebase-mcpでCVE-2026-5023が開示された。脆弱性はgetCodebaseとgetRemote関数に影響する。また一日、また一つの悪用可能なコードを持つMCPサーバー。パターンは否定しようがない。
Source: https://x.com/CVEnew/status/2038135150937350457
---
研究者たちが静的解析からランタイム検証に進み、6つの著名なMCPサーバーに対する実際に動作するエクスプロイトに変換した。「バグを見つけた」から「悪用可能であることを証明した」への転換だ。発見から兵器化までのギャップが縮小している。
Source: https://x.com/_r_netsec/status/2038080726533599403
---
新しい研究が177,436のMCPツールを分析した(arXiv:2603.23802)。65%が金融取引、ファイル編集、メール送信など実世界のアクションを実行する。16ヶ月前は27%で、2.4倍の増加。SDK月間ダウンロード9700万。66%にセキュリティ所見あり。組織間のIDプロトコルはゼロ。エージェントがデータの読み取りから実世界の変更に移行すると、セキュリティモデルは破綻する。
Source: https://x.com/0xbrainKID/status/2038122792512594288
---
GlassWormキャンペーンがMCPパッケージの偽装に進出。Trivy サプライチェーン攻撃は、侵害されたツールが表面上は正常に見えるまま静かに動作することを実証した。ほとんどの人はMCPサーバーを信頼された内部サービスとして扱っているが、実際にはエージェントの権限で実行されるサードパーティコードだ。すべてのMCP接続は非信頼境界として扱うべきだ。スコープされたアクセス、出力制御、すべての呼び出しに対する監査ログが必要。
Source: https://x.com/AdityaMBAsymbi/status/2037921746611736772
---
AgentSealはこれまでに7,500以上のMCPサーバーをスキャンした。40%以上に実際の脆弱性があり、GitHubスター1万以上のサーバーも含まれる。任意のサーバーのセキュリティステータスを検索できる公開レジストリを運営している。問題の規模は今や定量化されている。
Source: https://x.com/agentseal_org/status/2038003596323684452
Comments