「セキュリティの悪夢」:DockerがMCPツールチェーンのリスクを警告

作者:

• Matt Foster

翻訳者

• Hiroaki.Sugimura

原文リンク(2025年08月04日)

Dockerの新しいブログ投稿は、Model Context Protocol (MCP)を基に構築されたAI駆動開発者ツールが重大なセキュリティ脆弱性―認証情報の漏洩、無許可ファイルアクセス、リモートコード実行の実例を含む―をもたらしていると警告している。

これらのツールはよくエディタや開発環境に直接統合されており、大規模言語モデル(LLM)が自律的にコードを書いたり、APIにアクセスしたり、ローカルスクリプトを呼び出したりできる。しかし、多くの場合、適切な隔離や監視がない状態で動作している。

その結果、Dockerによれば危険なパターンが生じている:AIエージェントがファイルシステム、ネットワーク、シェルへの高いアクセス権を持って動作している-信頼できないソースからの未検証の指示を今も実行している。

観察されたい幾つかの事例では、AIツールがユーザーの承認なしにシェルコマンドを実行したり、機密性の高い環境変数を露出させたり、意図した範囲外のファイルを変更したりしていた。

問題の中心にあるのはMCPだ。これは、AIエージェントが外部ツール、サービス、データとどのようにやり取りするかを標準化するために設計された急成長中のプロトコルである。2024年後半に導入され、MCPはAIエージェントがMCPサーバーを呼び出すことを可能にしている;共通インターフェースを使ってデータベースのクエリ、リポジトリの更新、メール送信など特定のタスクを処理するプラグインを通じて。

しかし、これらの統合の多くは安全に実装されていない。Dockerが数千のMCPサーバーを分析した結果、広範な欠陥が見つかった。

注目すべき事例-CVE-2025-6514-では、MCPサーバーで使用される人気のOAuthプロキシがログイン時に任意のシェルコマンドを実行するために悪用され、約50万の開発環境が危険にさらされた。

コード実行以外にもDockerは、ファイルシステムの露出、無制限のアウトバウンドネットワークアクセス、ツールの毒性(ツールがその能力や出力をエージェントに誤って伝えること)を含む、より広範な脆弱性のクラスを特定している。

MCPツールの43%以上がコマンドインジェクションの欠陥に影響を受け、3分の1が無制限のネットワークアクセスを可能にしていることから、Dockerは現在のエコシステムを「セキュリティの悪夢」と結論付けている。

これらのリスクに対処するため、Dockerはコンテナの隔離、ゼロトラストネットワーキング、署名付き配布を明確化するMCPツールの強化アプローチを提案している。戦略の中心にあるのはMCP Gateway、AIエージェントとそのツール統合の間に配置され、呼び出しを傍受しセキュリティポリシーを適用するプロキシだ。

npmからMCPサーバーをインストールしたり、ローカルプロセスとして実行したりする代わりに、DockerはMCP Catalogから事前構築された署名付きコンテナを使用することを推奨している。これらのイメージは暗号的に検証されており、サプライチェーン攻撃の可能性を減少させる。各ツールは制限されたファイルアクセス、CPU/メモリ制限、デフォルトではアウトバウンドネットワークアクセスなしの独自コンテナ内で実行される。

他のAIベンダーも同様の懸念を表明している。OpenAIは現在、ChatGPTエージェントが外部アクションを実行する前に明示的なユーザーの同意を求めるようになり、AnthropicはClaude Opus 4のようなモデルが監視なしでオペレーションする際は手動操作に頼る可能性があることを示している。

AIエージェントが自律性を獲得し、重要な開発者ワークフローに接続されるにつれ、新しいクラスのサプライチェーンリスク-信頼できないコードが単にインストールされるだけでなく、モデル自身によって動的に呼び出される-が生じている。Dockerの警告は明確だ:隔離、監視、セキュアなデフォルトがなければ、今日のAIの利便性が明日の侵害の媒介者になる可能性がある。

作者について

このコンテンツのトピックは Architecture です。