良いツールが悪さをするとき:AIが二重スパイとして働くのを止めるには?
AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。
InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。
AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない:「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。
エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル
モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。
MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。
しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。
InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。
彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:
- AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
- このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
- ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。
これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。
セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由
エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。
開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。
AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。
開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。
実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。
AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。
NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:
- 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。
- 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
- セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。
当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。
最高経営責任者(CEO)、会長、および共同設立者

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。


AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。
InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。
AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない:「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。
エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル
モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。
MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。
しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。
InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。
彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:
- AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
- このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
- ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。
これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。
セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由
エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。
開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。
AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。
開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。
実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。
AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。
NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:
- 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。
- 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
- セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。
当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。
InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。
AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない:「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。
エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル
モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。
MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。
しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。
InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。
彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:
- AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
- このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
- ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。
これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。
セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由
エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。
開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。
AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。
開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。
実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。
AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。
NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:
- 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。
- 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
- セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。
当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。
InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。
AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない:「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。
エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル
モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。
MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。
しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。
InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。
彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:
- AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
- このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
- ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。
これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。
セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由
エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。
開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。
AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。
開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。
実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。
AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。
NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:
- 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。
- 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
- セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。
当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。