剣 KENSAI
← All posts · research · 2026-04-04 · 3 min

MCPプロトコルセキュリティ監査で重大な脆弱性が判明、プロンプトインジェクションが12のLLMガードレールをバイパス、エージェントDASTが手動ペンテスターを上回る

Trail of BitsとNCC GroupがAnthropicのMCPプロトコルのツールチェーンポイズニングを暴露。ETHチューリッヒのCRESCENDO-2が12のLLMガードレールをバイパス。スタンフォード:AIエージェントがペンテスターを上回る。サプライチェーン攻撃+340%。


🔴 重大:MCPプロトコルセキュリティ監査がツールチェーンポイズニングを暴露

AnthropicのModel Context Protocol(MCP)の包括的なセキュリティ監査——現在4万以上のAIエージェントデプロイメントで採用——が、攻撃者がツール説明を操作し、パラメータスキーマを通じて悪意のある命令を注入し、エージェントの意思決定をハイジャックできる脆弱性クラスを明らかにしました。

ツール説明インジェクション(TDI)

研究者はエージェントの動作をリダイレクトする94%の成功率を達成しました。

🔴 重大:ユニバーサルプロンプトインジェクションが12の主要LLMガードレールをバイパス

ETHチューリッヒの研究者が「CRESCENDO-2」を発表——12の主要LLMシステムのセキュリティガードレールを体系的にバイパスするフレームワークで、平均バイパス率は78%です。

🟠 高:エージェントDASTがスタンフォード試験で手動ペンテスターを上回る

指標人間のペンテスター(平均)エージェントDAST(最良)エージェントDAST(平均)
発見された脆弱性(20中)14.21715.8
完了時間8.5時間47分1.2時間
ビジネスロジック欠陥5中4.85中25中1.4

重要な洞察:ハイブリッド人間-AIモデルは平均20中19.1の脆弱性を発見——人間のみより35%多く、AIのみより21%多い。

🟡 リサーチ:AIモデルサプライチェーン攻撃がQ1 2026に340%急増

🟡 新興:AI監査証跡のゼロ知識証明

企業がEU AI法の透明性要件に促され、プロプライエタリなモデル詳細を公開せずに検証可能なAI監査証跡のためにZKPシステムを採用しています。


Kensai推奨事項

  1. MCPを使用するAI/MLチーム:接続されているすべてのMCPサーバーを直ちに監査
  2. エンタープライズLLMデプロイメント:出力フィルタリングと決定論的アクション承認を実装
  3. セキュリティチーム:ハイブリッド人間-AIペネトレーションテストを採用
  4. ML運用:モデルレジストリのサプライチェーンセキュリティ
  5. コンプライアンスチーム:EU AI法のZKPソリューションを評価