Skip to content
← ブログ
エンジニアリング

最も人気のある MCP ライブラリに深刻度 9.6 の脆弱性。ガードレールでは不十分。

CVE-2025-6514 は mcp-remote でリモートコード実行を可能にします。Zapier は出力ガードレールを追加しました。しかし 8,000 以上の未検証コネクタには、出力チェック以上のものが必要です。

JT
JieGou Team · · 1 分で読めます

CVE-2025-6514:最も広く使われている MCP ライブラリのリモートコード実行脆弱性

2026 年 1 月、セキュリティ研究者が CVE-2025-6514 を公開しました。これは mcp-remote における CVSS 9.6 のリモートコード実行脆弱性です。mcp-remote は最も広くデプロイされている MCP トランスポートライブラリです。この脆弱性により、攻撃者はライブラリの WebSocket ハンドラにおける安全でないデシリアライゼーションパスを悪用して、ホストマシン上で任意のコードを実行できます。

これは理論上のリスクではありません。MCP エコシステムは npm、PyPI、crates.io 全体で月間 9,700 万以上のダウンロードを記録しています。mcp-remote だけで 1,200 万以上を占めます。このライブラリは数十の人気自動化プラットフォーム、AI エージェントフレームワーク、エンタープライズミドルウェアの依存関係です。

パッチは 72 時間以内にリリースされましたが、採用は遅れています。2026 年 3 月時点で、約 30% のインストールがまだパッチ未適用バージョンを実行しています。この脆弱性は CVE 公開後数日以内に実際に悪用されました。

MCP セキュリティ露出の規模

CVE-2025-6514 は孤立した事例ではありません。MCP エコシステムはプロトコルの初期リリース以来、認証バイパス、ツールポイズニング、ツール説明を介したプロンプトインジェクション、不正なデータ流出を含む 30 以上の CVE を蓄積しています。2026 年の Trail of Bits による監査では、公開されている MCP サーバーの 38% があらゆる形式の認証を欠いていることが判明しました。

ツールポイズニング攻撃 — 悪意のある MCP サーバーが操作された説明を持つツールを宣伝し、LLM を騙して有害なアクションを実行させる — は少なくとも 6 件の公開インシデントで記録されています。Rug-pull 攻撃は、ほとんどの MCP クライアントがツールスキーマをキャッシュするが実行時に再検証しないという事実を悪用します。

ツール説明を介したプロンプトインジェクションは特に陰険です。MCP サーバーはツール説明に指示を埋め込み、特定のツール呼び出しだけでなく会話全体にわたって LLM の動作に影響を与えることができます。

Zapier の対応:AI ガードレール

Zapier は 2026 年 2 月に AI Guardrails をリリースしました。個々の Zap に出力安全チェックを追加する機能です。これは合理的な製品更新ですが、出力ガードレールは本質的にラストマイルチェックです。自動化が既に実行された後の出力を評価するもので、入力、実行方法、ツール承認、またはサプライチェーンの信頼性は制御しません。

最も人気のあるトランスポートライブラリに CVSS 9.6 の RCE が発生したエコシステムでは、サプライチェーンの問題こそが最も重要です。

ギャップ:8,000 以上のコネクタ、サプライチェーンガバナンスはゼロ

Zapier のインテグレーションマーケットプレイスには 8,000 以上のコネクタがリストされています。これらのコネクタは MCP 固有の攻撃ベクトルについて監査されていません:ツールポイズニング、スキーマ操作、ツール説明を介したプロンプトインジェクション、トランスポート層のデシリアライゼーション脆弱性。出力ガードレールは実行中にサイドチャネルを通じてデータを流出させるサプライチェーン攻撃を捕捉できません。

構造的な問題は、ガードレールが間違った層で動作していることです。現代の AI 自動化スタックでは、脅威はサプライチェーン層、入力層、実行層、出力層から侵入します。ガードレールは出力層のみを対処します。他の 3 つの層は保護されないままです。

JieGou のアプローチ:認定インテグレーションと 10 層ガバナンス

JieGou は 3 段階のレビュープロセスを通過した 250+ の認定インテグレーションを維持しています:

  1. 検証済み — インテグレーションはドキュメント通りに動作します。API コントラクトが一致。エラー処理が正確。
  2. 認定済み — インテグレーションは MCP 固有の攻撃ベクトルについて監査済み。ツール説明はプロンプトインジェクションの可能性について審査済み。トランスポート層は既知の CVE に対してチェック済み。
  3. エンタープライズ対応 — 規制産業向けの追加要件を満たす:データレジデンシーコンプライアンス、監査証跡の完全性、保存時および転送時の暗号化。

CVE-2025-6514 が公開された際、JieGou のセキュリティチームは 48 時間以内にすべての 250+ インテグレーションを監査し、脆弱な mcp-remote トランスポートパスを使用しているものがないことを確認できました。

JieGou の 10 層ガバナンススタックはインテグレーションカタログを超えて保護を拡張します。入力検証は実行前にプロンプトインジェクションをチェック。ツール承認ゲートは各インテグレーションの明示的なロール別認可を要求。GovernanceScore はすべての 10 層にわたる継続的な定量指標(0-100)を提供します。

私たちのインテグレーションは認定済みです。あなたのは?

CVE-2025-6514 は警鐘です。出力ガードレールは合理的な第一歩ですが、セキュリティアーキテクチャではありません。JieGou の 250+ 認定インテグレーションと 10 層ガバナンススタックは、MCP が導入する脅威モデルのために構築されています。すべてのインテグレーションは審査済み。すべての層は監視済み。すべてのアクションは記録済み。

JieGou の MCP ガバナンスの比較をご覧ください。MCP ガバナンス機能を探索 または 無料トライアルを開始

mcp security cve zapier guardrails governance vulnerability

Explore more

📖 What is AI Governance? ⚙️ Governance Score 🏢 Engineering Department 📖 What is MCP?
この記事をシェアする

関連記事

MCP ガバナンス:なぜ10層が1層に勝るのか

Microsoft、OpenAI、Zapier、JieGou はすべて MCP を介して AI をツールに接続します。10層ガバナンスを提供しているのは1社だけです。なぜそれがエンタープライズ AI 導入にとって重要なのかを解説します。

MCPはどこにでもあります。MCPガバナンスはありません。

誰もがMCPツールを接続します。誰もガバナンスしません。JieGouの3層MCP認証 -- Verified、Certified、Enterprise-Ready -- がMicrosoft、Zapier、Googleが放置しているガバナンスギャップを埋めます。

すべてのAIプラットフォームがエージェントにコード実行を許可しています。管理者が承認できるのは1つだけです。

AIエージェント向けのコード実行はコモディティ化しています。差別化要因はエージェントがコードを実行できるかどうかではありません。誰がどのコードを実行するかを決めるかです。

この記事はお役に立ちましたか?

ワークフローのヒント、製品アップデート、自動化ガイドをメールでお届けします。

No spam. Unsubscribe anytime.

← すべての記事に戻る