マジかよ！MCPの"S"はセキュリティの"S"だった！？AIエージェントの闇を暴く！

質問は「このライブラリをインストールできる？」であって、「インストールして」じゃないんだよね。八百屋で「アイスある？」って聞いたら、アイスが配達されるなんて思わないでしょ？

ほとんどのLLMユーザーは、モデルにそんなliteralism求めてないんだよね。上司に「木曜日までに終わらせられる？」って聞かれて「いいよ」って答えただけで、何もしなかったらマジギレされると思う。

マジか。ユーザーコンテンツとシステムコンテンツを区別する方法が必要だって思ってたんだけど、面白い指摘だね。エージェントのworkflowはユーザーコンテンツの指示に従うことなんだもんね。
解決策は権限レベルとか、parametrized SQLみたいなものかも。問題は、何が問題なのかハッキリ定義する必要があるってことだね。

「コード」と「データ」に明確な区別はないんだよね。どっちも同じもの。その上にcomputing industry全体が成り立ってるし。コードかデータかは、ただの意見の問題なんだよね。

よくわかんないな。Traditional computingでは区別できるし、したくない時も制御できるよね。LLMを特別扱いしてるのは、powerfulにしたいからでしょ？Traditionalなやり方ならこの問題は起きないと思うけど。

prepared SQL statementsみたいなモデルは使えると思うんだよね。そうするとnatural language interfaceは諦めることになるけど、security-criticalな場面ではdeveloperにしか影響ないんじゃないかな？
例えば、LLMに「ユーザーのメッセージをtopicとdocument typeにparseして、%TOPICS%に保存して」みたいな指示を出すとか。

でも区別は必要でしょ。データがコードとして扱われることを何て言うか知ってる？security vulnerabilityって言うんだよ。信用できないデータは、特権的なcontextでコードとして実行しちゃダメ。それできるのは深刻な欠陥だよね。

＞データがコードとして扱われることを何て言うか知ってる？security vulnerabilityって言うんだよ。
コードとして扱われるべき時は？
(code execution vulnerabilityとREPLの違いは何？使う人が誰か、でしょ)
プログラムとデータの違いって、プログラムは常に言語のinterpreterとして見れるよね。langsecって分野も参考になるよ。
EDIT:securityがカルト化してる気がする。security vulnerabilityって呼ぶかどうかは、本質を変えない。情報の本質は、コードとデータの間に客観的な区別はないってこと。
EDIT2:security自体も客観的じゃない。誰を何から守るのか、っていう前提があるんだよね。

catでファイル見ても、実行されたことないけど。

お前さ、バイナリファイルをcatしてターミナルぶっ壊したことないのかよ？
ないなら、適当なバイナリファイル（画像とかアーカイブ、もしかしたら/dev/randomとか）をcatしてみな。
ヒント：resetコマンドで直るかもよ。たいていはな。

それこそが問題なんだって。見方次第だよ。
多くのソフトウェアは「コード」と「データ」を区別しようとしてるけど、それって結局はプログラムのルールに過ぎないんだよね。本質的には区別なんてないんだよ。
だから、入力パーサーとか、データを解釈するコードにちょっとしたバグがあるだけで、データがコードになっちゃうんだ。
セキュリティの脆弱性のほとんどがそう。
WMF/EMF形式の画像ファイルも良い例だよ。あれって、WindowsのGDI+ APIへの関数呼び出しリストなんだよね。
Pythonプログラムだって、インタープリターにとってはただのデータでしかないし。要するに、全部データなんだよ。
自然界に「コード」と「データ」の区別なんてないんだよ。区別があるのは、俺達が都合のためにそうしてるだけなんだ。

なんでみんなそんなにMCPに興奮してるんだ？ hypeだよhype。ソフトウェアエンジニアがアーキテクチャにロマンを感じてるだけ。Model Context Protocolとかサーバー、クライアントって言葉並べるだけで、新しいアプローチだって勘違いするんだよ。

＞「複雑な問題には、明確で単純で間違った解決策が必ず存在する」—HL Mencken

LLMの基本的な構造上、それを修正する方法はない。

それは言い過ぎだと思うな。LLMを権限のないユーザーとして実行して、他のユーザーと同じように動作を制限すればいいんだよ。
それでも悪いことは起こりうるけど、「セキュリティは穴だらけだ」とまでは言えないんじゃないかな。信用できないプロセスの出力を信用してるなら、そいつが穴だってことだけど。

たいしたことないんだよ。重要なメールを教えてくれたり、Web検索して教えてくれるアシスタントが欲しいとするじゃん？
そうすると、誰かがメールを送ってきて、アシスタントを騙して他のメールの内容を送らせることができるようになるんだ。
LLMはWebにアクセスできるか、個人情報にアクセスできるかのどちらかしか選べないんだよ。両方持ってて安全なんてありえない。

それらを「たいしたことない」とは言えないと思うな。それは、信頼できないエンティティに与えるには多すぎる権限だよ。

俺の言いたいことは、このエンティティを信頼できないものとして扱う必要があるってこと。エージェントとして機能させることとは相容れないんだよ。個人データと外部の世界の両方にアクセスできるなんてありえない。

この記事の攻撃例は、ほとんどがエアロックの向こう側にいるようなもんじゃね？（https://devblogs.microsoft.com/oldnewthing/20060508-22/?p=31…）特権の境界を越えるわけじゃなく、既にできることを別の方法でやってるだけ。
MCPサーバーはユーザーレベルでコードを実行してるから、AIを騙してSSHキーを読ませる必要なんてないんだって。普通にキーを読めばいいじゃん！他のも同じで、NPMやVS Code Extensionsみたいな開発ツールやエコシステムに対する不満と同じレベルの話だよね。

＞None of these involve crossing a privilege boundary, they just found a weird way to do something they could already do”
いやいや、もうちょい微妙なんだって。
ツールポイズニング攻撃ってのは、あるツールの提供者がAIに別のツールを使わせるってこと。
例えば、適当な会社の天気ツールとSSHキーをAIに与えたとするじゃん？
そしたら、SSHキーを渡しただけじゃなくて、その天気会社にAIを騙させてSSHキーを盗ませることもできちゃうんだって。
つまり、AIにキーを渡したのは確かだけど、天気会社にもキーを渡したことになるとは思わないじゃん？

これって、VS Codeにファイルシステムへのアクセス権を与えて、VS Codeプラグインにもアクセス権を与えたことに気づかなかった、みたいな話じゃない？

VS Codeプラグインにファイルシステムへのアクセス権を与えて、GitHubからファイルをダウンロードできるようにしたら、たまたまダウンロードしたファイルにヤバいコンテンツが入ってて、プラグインがSSHキーを読み取って誰かに送っちゃう、みたいな感じかな。
信頼できるデータと信頼できないデータの両方にアクセスできるプログラムは、ユーザーが望まないことをプログラムにさせないようにめっちゃ注意する必要があるよね。LLMが特権ツールにアクセスできる場合は、それが不可能になっちゃうんだって。

これはConfused Deputy攻撃だね。
だから、みんなが最小権限を求めるんだよ。自分が持ってないものは与えられないんだから。

ある意味そうかもね。むしろ、VS Codeの各プラグインが他のすべてのVS Codeプラグインにアクセスできることに気づいてない、みたいな感じかな。

＞An MCP server is running code at user-level, it doesn’t need to trick an AI into reading SSH keys, it can just….read the keys!”
その攻撃シナリオの作者[0]を見ると、MCPサーバーはローカルで動いてないんだって。代わりに、ローカルエージェントに予期しない指示を送ってるんだよ。エージェントはユーザーに代わって予期しないことをして、それをリモートのMCPサーバーに送るんだけど、普通はアクセスできないはずなんだ。
この攻撃シナリオのポイントは、エージェントは「セキュア」って概念がないから、ユーザーからのリクエストに忠実に反応しちゃうってこと。しかも、サーバーから予期以上のことをするように指示される可能性があるんだって。
ユーザーがMCPサーバーに接続するときの細かい字をちゃんと読んでないと、攻撃されちゃうかもね。
[0] https://invariantlabs.ai/blog/mcp-security-notification-tool…

もう90年代じゃないんだから、セキュアかインセキュアかで世界を二分するのはやめようよ。今は、すべてを最小権限にすべき時代なんだ。
コード補完サービスを使うだけで、コンピューターを完全にコントロールされるなんておかしいでしょ。

それって結局、制限だらけのセキュリティの世界につながるじゃん…セキュリティの悪用者がシステム設計者と戦って、一般ユーザーはどんどん狭い”user boxes”に押し込められるんだよね…全部が世界規模のネットワークにつながってるわけじゃないし。どの製品もネットワーク上で勝手にアップデートする必要ないし。

すべてのMCPサーバーがローカルで動いてるわけじゃないんだよね。もし他の人が使うMCPサーバーをホストしてるなら、こういう攻撃にマジで気をつけないと。最近のHNの例だとGitMCP[0]があるよ。
[0] - https://news.ycombinator.com/item?id=43573539

特権の境界内でも同じ問題が起こりうるんだよね。例えば銀行の中で、不正とか悪いことを引き起こすイベントを監視するために使われるかもしれないし。安全に実装できるって証明するのがマジで難しいんだよね。例えば、自分のSharePointとかConfluenceが安全だって言える？俺は無理だと思うな…

いい記事だけど、これって全部AIが生成したんじゃない？プロフィール画像は完全にStableDiffusionっぽいし、アカウントは今日作られたばっかりで、過去の記事もないし。それに、Elena Crossって人に全然心当たりがないんだよね。

ナイスな指摘。確かに架空の作者っぽいし、記事もGPTっぽい感じがする。ScanMCP.comによる有料の’マーケティング’だと思うな。Invariant Labsのレポートにつけこんで作ったんだ。

これを見に来た。他の誰かが言ってるか確認してたんだ。”Models like [..]、GPT、Cursor”？絵文字の使い方がマジでAIっぽい。表面的な問題点だけ挙げてて、作者が深く掘り下げてない気がする。

＞いい記事だけど、これって全部AIが生成したんじゃない？”
最近の記事はほとんどそうだよ。これは出来が悪くてバレバレなだけ。

OはObservabilityのことでもあるんだよね。最近MCPサーバーを色々試してるんだけど、ほとんどの実装、特に俺の作ったおもちゃみたいなやつには監査とかメトリクスがないんだよね。ClaudeはMCPサーバーのログを出力してくれるけど、DevOps/SecOps向けってよりデバッグ用って感じ。
ソフトテックの人たち(muggles)にとって、OPが言ってる問題はマジでヤバい。Dockerの使い方を学んでる人は多いけど、結局blobをダウンロードして実行してるだけなんだよね。みんな雰囲気でMCPサーバーを書いて、それを盲目的に実行してるんだから！
MCPが普及すれば、SecurityとかObservabilityをサポートするフレームワークとかツールが出てくると思う。90年代のWeb開発みたいな感じだね。
あと、Claude Desktopに入力してVSCodeでブレークポイントを設定できたときはマジで感動した！

Claude codeを予想以上に使うようになったんだけど、まさに同じ問題を抱えてる。どこにもログがないんだよね。プロンプトのローカルログすら見つからない。クレジットの消費量以外に使った証拠がない。WebUIの会話にも記録されない。
これってわざとなのかな？もしコントラクトの仕事をしてたら、Claudeが12%の仕事をしたとか言い訳できるよね？
openwebuiとかaiderはdatadogにログを送れるけど、ソフトウェアのレイヤーが多すぎる。
ターミナルをスクリプト化して、テキストデータを全部スクレイピングする方法を探してるんだよね。会話とか構築手順を記録したいんだけど、今のツールじゃ難しいんだ。

Roamみたいなナレッジベースを作って、LLMとのやり取りを記録しようとしてるんだよね。後から自分の考えを辿れるように。
LLMに何か実装してもらうとき、毎回質問して理解を深めてるんだけど、UIのスレッドを辿るのは大変なんだよね。だから、ちゃんとしたo11yとかinstrumentationのレイヤーがマジで重要。

puttyを使えば、ターミナルの制御コードも含めて全部ログに残せるよ。文字が削除されたり、画面がクリアされたりする様子とか、cursesで何が起きてるのかとか、全部わかる。再生機能も作れるかもね。

まるでWeb/APIフレームワークをまたゼロから作ってるみたいだよね。過去の教訓を全く活かさずに。でも、時間の問題だと思ってる。

歴史を忘れちゃってるよね。一番大事な教訓はこれ。
ユーザーが任意のサードパーティAPIを設定・組み合わせて、ブラウザで実行できるカスタムソリューションを作るにはどうすればいいか？
答え：無理。絶対に無理。どのAPIプロバイダーもそんなこと望んでないし、ブラウザも阻止するように設計されてる。
それが根本的な問題。MCPはユーザー中心設計で、サードパーティのサービスが相互不信の中で提供するのが難しい機能を実現しようとしてる。Webはそれを完全に禁止して、ベンダーが裏で交渉して、単一の責任ポイントからユーザーに提供するアプローチを選んだ。
MCPで同じことをすると、使い物にならなくなるか、今のモバイルマーケットプレイスと同じ問題が起きる。少数の巨人がゲートキーパーになって、アクセスをコントロールするんだ。
不可能とは言わないけど、誰かが解決策を見つけるかもしれない。

簡単なObservability統合のオプションが組み込まれてると嬉しいよね。でも、これってMCPだけの問題じゃなくて、ライブラリとかテンプレートを共有する人みんなの問題だと思う。小さなプロジェクト(MCPプロジェクトとか)は、スケールするまでそういうことを考えないんだよね。

Dockerはマジで”blobをダウンロードして実行”してるだけだよね。しかも、システムのファイアウォールをこっそりオフにするんだから、マジ勘弁！

確かにそう。さらに監視とセキュリティが必要なレイヤーが増えるってことだね。でも、ちゃんと設定すればサンドボックスになる。OSSのメンテナーとして、監査人が見れるように公開ビルドログを作るようにしてる。みんなが言ってるように、今はWebサービスが数十年前の状態ってことで、より良いデプロイモデルを見つけるはず。

煽るつもりはなかったんだけど、プログラミングとかシステムスキル（魔法的なやつ）がないけど、PCスキルは高い人たちのこと言いたかったんだよね。Muggleって言葉に、そいつらが学習できないって意味合いがあるかもと思ってさ。
ソフト系の人たちがAIツール使いこなしててすごいじゃん。でも、システムのセキュリティとか知らんから、何がヤバいかわかってないんだよね。今回の記事の問題点も、彼らにとっては未知の領域ってわけ。ただ、指摘されたらめっちゃ知りたがるみたいで、そこは良いよね。

なるほどね。でも、残念ながら楽観的すぎかも。あなたが言う「ソフト系の人」って、実はジュニアとかエントリーレベルの開発者の大多数だと思うよ。たぶん半年前とか一年前くらいから。

チャレンジだ！もっと良い設計を考えてみて。
1．セキュリティちゃんと対策されてて記事書かれないレベルで。
2．今のMCPの便利な機能をそのままに、ユーザーがいちいち確認しなくてもいいように。
3．企業様のマーケットプレイスで全部管理しない。
誰か提案してくれ。みんな「MCPはセキュアじゃない！」って言うだけで具体的じゃないんだもん。セキュリティと便利さは両立しないんだよね…
あと、MCPは第三者がホストするサービスとして想定されてないと思うよ。それがセキュアじゃないなら、やめれば？

それって問題を見る視点として、あんまり良いと思わないな。MCPのセキュリティについて話す上で、建設的じゃない気がする。
システムがセキュアにしにくいからって、セキュアにする必要がないわけじゃないし。
サードパーティのMCPサービスについては同意。あれは微妙だし、多くのユースケースで実現可能かどうかわからない。

いや、めっちゃ重要な視点だと思うよ。最近のMCPセキュリティに関する議論って、脆弱性がMCPの主要な機能だってこと忘れてる気がするんだよね。
＞システムがセキュアにしにくいからって、セキュアにする必要がないわけじゃない。
＞”その通り。でも、セキュリティって程度問題じゃん？「十分にセキュア」って考え方もあるし。特に、セキュリティを強化しすぎてシステムの存在意義がなくなったら意味ないしさ。それに、システムの一部を重点的に保護すればいいんだよ。
例えば、台所用品とか作業道具って事故防止のためにできるだけ安全にするけど、使いにくくなったら意味ないじゃん？だから、アクセス制限とか法律とかでカバーするんだよ。システム全体を安全にするってこと。おもちゃみたいな安全な道具もあるけどね。”

VMとか専用マシンとかVPCみたいな、セキュアに隔離された環境で動かせば良くない？そこでアクセスできる情報とか、データの破損とか気にしなくて済むじゃん。で、そこから取り出したものを監査すればいい。MCPの問題ってより、信頼できないエンティティの問題だと思う。

でも記事は、信頼できないツールがツールシャドウイングとかして、LLMを騙して意図しない動作させるとかの話じゃん。隔離された環境じゃ意味ないよ。だってMCPは環境を跨ぐんだから。

そもそもなんだけど、なんで信頼できないツール使うの？
信頼できないツールとか、リモートでホストされてるツール使ってて、悪意のあるツールにやられるのが不思議なの？
コンテキストを「機密」ってタグ付けして、LLMがそれを尊重してくれないと、信頼できないエンドポイントに情報送ってないって保証できないよ。それを受け入れるなら、信頼できないエンドポイントを使わないようにシステム設計するしかない。それって、自分のPCで信頼できないアプリ動かすのと同じじゃん。問題ない時もあるけど、そうじゃない時もある。
エージェントがセッション全体を「汚染されてる」ってマークして、機密情報が入ってきたら信頼できないソースへのアクセスを禁止するとか。それLLMの外でやらないと、LLMが騙される可能性があるからね。ツールにアノテーション追加すれば、エージェントがセキュリティプロセスを促進できるかも。まあ、穴だらけだと思うけど。

ブラウザとかIDEで信頼できない拡張機能使うのと同じ理由でしょ。最初から悪意があるわけじゃなくて、人気が出た後に所有者が変わって悪意のあるものになるパターンもあるし。

それなら、何十年も前からやってる、APIをネットワーク経由で公開するのと何が違うの？MCPのメリットって何？

エージェント(MCP Host/MCP Clients)をツールとかリソース、プロンプト(MCP Server)につなげるための、目的がハッキリした標準プロトコルって感じかな。LLMサービスもMCP Serverに公開できるし。それに対して、ツールとかデータをイチイチ手動で統合するってこと？もしかしてMCPのこと誤解してない？MCPにはstdioとHTTP+SEEの2つのトランスポートがあるんだよね。HTTP+SEEの方は、まさに君が言う「ネットワークからアクセスできるAPI」だよ。

いやいや、俺が言いたいのは「エージェントが既存のAPIの使い方をちゃんと理解できるようなドキュメントがあれば、それで良くね？」ってこと。現状だと、ちょっと手助けしてあげた方が良さそうだけどね。でも将来的には、APIの仕様とか、ちゃんとしたインターフェースとかを公開すれば、エージェントがそれを理解して使えるようになるべきだと思うんだよね。

確かに「いつか」は、エージェントにAPIをポンと渡せば、勝手に色々やってくれるようになるかもね。まだまだ先は長いけど、きっとそうなるよ。

開発環境でロボットがどんどん高度なタスクを実行してくれるってのは、状況によってはマジで嬉しいよね。

MCPツールをホスト型サービスとして提供したいなら、Web APIの裏に隠すのが良いと思うんだよね。「マシンリーダブルなドキュメントが整備されたWebサービスとしてツールを公開すれば、エージェントが簡単に使える」って考えの方が、MCPみたいに騒がれてるのがちょっと意外。

APIの裏に隠したとしても、Bobby Tablesみたいな問題は残るんじゃない？機能を損なわずにAPIとして公開するにはどうすればいいんだろ？

Bobby Tablesの問題については、APIサービスに適用されるルールは全部同じってこと。SQLインジェクション対策とか、今まで何十年もやってきたことをちゃんとやる必要があるってことだね。
＞どうすれば機能を損なわずにAPIとして公開できるか”
俺もまだ模索中だし、正直な疑問を投げかけてるだけなんだけど。今のところ、MCPの機能は「サンドボックス環境で動く自動生成のRPCサービスとして公開できる」ように感じるんだよね。

MCPには現在2つのトランスポートがあって、そのうちの1つがWebからアクセスできるAPIなんだよね。