MCPプロトコルセキュリティ監査で重大な脆弱性が判明、プロンプトインジェクションが12のLLMガードレールをバイパス、エージェントDASTが手動ペンテスターを上回る
Trail of BitsとNCC GroupがAnthropicのMCPプロトコルのツールチェーンポイズニングを暴露。ETHチューリッヒのCRESCENDO-2が12のLLMガードレールをバイパス。スタンフォード:AIエージェントがペンテスターを上回る。サプライチェーン攻撃+340%。
🔴 重大:MCPプロトコルセキュリティ監査がツールチェーンポイズニングを暴露
AnthropicのModel Context Protocol(MCP)の包括的なセキュリティ監査——現在4万以上のAIエージェントデプロイメントで採用——が、攻撃者がツール説明を操作し、パラメータスキーマを通じて悪意のある命令を注入し、エージェントの意思決定をハイジャックできる脆弱性クラスを明らかにしました。
ツール説明インジェクション(TDI)
研究者はエージェントの動作をリダイレクトする94%の成功率を達成しました。
🔴 重大:ユニバーサルプロンプトインジェクションが12の主要LLMガードレールをバイパス
ETHチューリッヒの研究者が「CRESCENDO-2」を発表——12の主要LLMシステムのセキュリティガードレールを体系的にバイパスするフレームワークで、平均バイパス率は78%です。
- バイパス率:12モデル全体で平均78%
- 検出回避:わずか12%しか検出されず
- 転用可能性:モデル間で45%の成功率
- 自動化可能性:攻撃シーケンス全体を別のLLMで生成可能
🟠 高:エージェントDASTがスタンフォード試験で手動ペンテスターを上回る
| 指標 | 人間のペンテスター(平均) | エージェントDAST(最良) | エージェントDAST(平均) |
|---|---|---|---|
| 発見された脆弱性(20中) | 14.2 | 17 | 15.8 |
| 完了時間 | 8.5時間 | 47分 | 1.2時間 |
| ビジネスロジック欠陥 | 5中4.8 | 5中2 | 5中1.4 |
重要な洞察:ハイブリッド人間-AIモデルは平均20中19.1の脆弱性を発見——人間のみより35%多く、AIのみより21%多い。
🟡 リサーチ:AIモデルサプライチェーン攻撃がQ1 2026に340%急増
- Hugging Faceタイポスクワッティング:847の悪意あるモデルリポジトリ
- PyPIポイズニング:1,243の悪意あるパッケージ
- グラディエントファイルエクスプロイト:不正なSafeTensorsとGGUFファイル
🟡 新興:AI監査証跡のゼロ知識証明
企業がEU AI法の透明性要件に促され、プロプライエタリなモデル詳細を公開せずに検証可能なAI監査証跡のためにZKPシステムを採用しています。
Kensai推奨事項
- MCPを使用するAI/MLチーム:接続されているすべてのMCPサーバーを直ちに監査
- エンタープライズLLMデプロイメント:出力フィルタリングと決定論的アクション承認を実装
- セキュリティチーム:ハイブリッド人間-AIペネトレーションテストを採用
- ML運用:モデルレジストリのサプライチェーンセキュリティ
- コンプライアンスチーム:EU AI法のZKPソリューションを評価