MCPサプライチェーン攻撃：エージェントが信頼するツールが侵害されるとき

MCP（Model Context Protocol）はAIエージェントが外部ツールを呼び出すことを可能にします — ファイル読み取り、データベースクエリ、メッセージ送信、コード実行。企業がMCPサーバーをAIスタックに接続すると、エージェントはそのサーバーが公開するすべての機能を継承します。これは非常に有用ですが、npmサプライチェーン攻撃を壊滅的にした信頼モデルと同じです。悪意のあるMCPサーバーを信頼するエージェントは、許可されたツールキットの一部と信じて、そのツールを疑問なく実行します。

攻撃ベクトルは懸念されます。悪意のあるMCPサーバーはツールレスポンスに隠し指示を注入できます — ユーザー入力ではなくツールレイヤーを通じたプロンプトインジェクションの実行です。会話からの機密コンテキストを含むエージェントのすべてのリクエストをログ記録してデータを流出させることができます。エージェントに不正なアクションを取らせる操作された結果を返すことができます。MCPサーバーは独自のツール説明を宣言できるため、悪意のあるサーバーはエージェントのツール理解を上書きし、データ流出エンドポイントを無害なロギングサービスに見せかけることができます。

MCPレイヤーのセキュリティ確保には、ツール連携をサードパーティコード依存関係と同じ厳密さで扱う必要があります。ASGUARDはMCPツール呼び出しをリアルタイムで監視し、ツールレスポンスにインジェクションペイロードが含まれていないこと、ツールエンドポイントに送信されるデータがエージェントの許可範囲と一致すること、ツールの動作が宣言された機能と一致することを検証します。MCPエコシステムの進化に合わせて継続的に更新される、MCP関連の攻撃パターン専用の脅威インテリジェンスフィードを維持しています。MCPで構築する企業にとって、これはオプションのセキュリティではなく基盤です。