Anthropic公式Gitツールに3つの脆弱性が発見されました。プロンプトインジェクションによりリモートコード実行の可能性があります

Anthropic维护の公式mcp-server-gitツールにおいて、3つの深刻なセキュリティ脆弱性が報告されました。これらの脆弱性は、プロンプトインジェクションを通じてリモートから悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のあるREADMEファイルや損傷したウェブページをトリガーとして悪用できます。さらに危険なのは、これらの脆弱性をファイルシステムのMCPサーバーと組み合わせることで、任意のコード実行が可能になる点です。Anthropicは2025年12月17日にCVE番号を割り当て、修正パッチを公開しました。ユーザーには直ちに更新を推奨します。

3つの脆弱性の技術的詳細

攻撃の仕組み

セキュリティ研究機関Cyataの分析によると、これらの脆弱性の根本的な問題は、mcp-server-gitが入力パラメータの検証不足にあります。具体的には：

• パス検証の欠陥：repo_pathパラメータに有効なパス検証が行われておらず、攻撃者はシステムの任意のディレクトリにGitリポジトリを作成でき、従来のセキュリティ境界を突破します。
• 設定ファイルの悪用：攻撃者は.git/configファイルにクリーンフィルター（clean filter）を設定し、実行権限なしで任意のシェルコマンドを実行可能です。
• パラメータインジェクションのリスク：git_diffなどのコマンドのパラメータ処理の不備により、インジェクション攻撃の入口となっています。

プロンプトインジェクションの新たな脅威

これらの脆弱性の特に特徴的な点は、攻撃手法の隠密性にあります。攻撃者はシステムに直接侵入する必要はなく、以下の方法でトリガーできます。

• 悪意のあるREADMEファイルに特殊な指令を埋め込む
• 損傷したウェブページの内容を利用して攻撃
• 大規模言語モデルのユーザー入力処理の特性を利用

これらの内容をユーザーやAIシステムが処理する際、悪意のある指令が実行され、脆弱性の連鎖が引き起こされます。

複合リスクの危険性

単一の脆弱性は限定的な危険性しかありませんが、これら3つの脆弱性をファイルシステムのMCPサーバーと組み合わせて使用すると、攻撃者は以下を実現可能です。

• 任意のコードの実行
• システムファイルの削除
• 任意のファイル内容を大規模言語モデルのコンテキストに読み込み

これにより、攻撃者はシステムの完全な制御権を獲得したり、機密データを窃取したりする可能性があります。Anthropicのツールを用いて開発や展開を行う企業や個人にとって、これは深刻なセキュリティ脅威です。

修正方法と推奨事項

Anthropicは2025年12月17日にCVE番号を割り当て、修正パッチを公開しました。公式の推奨事項は以下の通りです。

• 直ちにmcp-server-gitを2025.12.18以降のバージョンに更新する
• システム内に疑わしい.git/config設定が存在しないか確認する
• 最近処理したGitリポジトリやファイル操作のログを監査する
• 重要なシステムについては、更新前に十分なテストを行う

まとめ

今回の脆弱性事件は、AIツールの急速な発展過程におけるセキュリティの課題を浮き彫りにしています。業界をリードするAI企業であるAnthropicの公式ツールにこのような脆弱性が見つかったことは、専門チームによる維持管理であっても、継続的なセキュリティ監査の必要性を示しています。プロンプトインジェクションは新たな攻撃手法としてAIエコシステム内で一般化しつつあり、業界全体での注意喚起が求められます。開発者にとっては、迅速なアップデート、定期的な監査、セキュリティ意識の向上が不可欠です。