Anthropic公式Gitツールに3つの重大な脆弱性が発見され、AIアシスタントがハッカーの侵入の踏み台に

Anthropicが管理するmcp-server-gitには、深刻なセキュリティ脆弱性が3つ存在し、プロンプトインジェクションを通じて悪用される可能性があり、任意のファイルアクセスからリモートコード実行までの完全な攻撃チェーンを実現します。これらの脆弱性は2025年末に修正されましたが、AIツールチェーンのセキュリティ防護が未だ十分でないことを示しています。

三大高危険脆弱性の技術的詳細

Cyataセキュリティ研究員が公開した3つの脆弱性は以下の通りです：

攻撃チェーンの完全性

これらの脆弱性の最も危険な点は、組み合わせて利用できることです。mcp-server-gitはrepo_pathパラメータのパス検証を行っていないため、攻撃者はシステムの任意のディレクトリにGitリポジトリを作成可能です。git_diffのパラメータインジェクション脆弱性と組み合わせることで、攻撃者は.git/configにフィルターを設定し、実行権限なしでシェルコマンドを実行できます。

プロンプトインジェクションによる新たな脅威

これらの脆弱性のユニークな点は、プロンプトインジェクションを通じて武器化できることです。攻撃者は直接被害者のシステムにアクセスする必要はなく、AIアシスタントに悪意のある内容を読み込ませるだけで脆弱性を発動させられます。具体的には、悪意のあるREADMEファイルや破損したWebページを利用し、ClaudeなどのAIアシスタントが処理中に意図せず悪意のあるコマンドを実行させることが可能です。

これらの脆弱性をファイルシステムのMCPサーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイル内容を大規模言語モデルのコンテキストに読み込ませたりして、深刻な情報漏洩やシステム破壊を引き起こす可能性があります。

Anthropicの修正策

Anthropicは2025年12月17日にCVE番号を取得後、迅速に対応し、同年12月18日に修正パッチを公開しました。公式の対策は以下の通りです：

• 問題のあったgit_initツールの削除
• パス検証メカニズムの強化
• パラメータ検証ロジックの改善

最新情報によると、ユーザーはmcp-server-gitを2025.12.18以降のバージョンに更新することでセキュリティ保護を得られます。

AIツールチェーンのセキュリティに関する示唆

今回の脆弱性事件は、より広範な問題を浮き彫りにしています。AIがますます多くの開発ツールに統合されるにつれ、セキュリティ防護の複雑さは大きく増しています。MCP（Model Context Protocol）はAIとシステムツールをつなぐ橋渡し役ですが、その安全性はシステム全体の安全性に直結します。

技術的に見ると、AIアシスタントがシステムツールを呼び出せる場合、各ツールの脆弱性は拡大される可能性があります。プロンプトインジェクションは攻撃のベクトルとなり、従来のアクセス制御や権限管理を無力化します。

まとめ

Anthropicが修正した三大高危険脆弱性は、AIツールチェーンのセキュリティ防護が設計段階から十分に考慮される必要性を示しています。公式は迅速に対応し修正策を公開しましたが、より重要なのは、業界全体でより堅牢なセキュリティ監査体制を構築することです。mcp-server-gitを使用する開発者にとっては、直ちに最新バージョンに更新することが必要です。これにより、AIの開発ツールへの深い適用に伴うセキュリティ脆弱性の影響範囲は拡大し続けるため、より多くの注目と投資が求められます。