Kai Security AIは2月21日、Model Context Protocol（MCP）公式レジストリに登録された518サーバーすべてを対象としたセキュリティ監査の結果を公表した。41%にあたる214サーバーがMCPプロトコルレベルで認証を要求していないことが判明した。

主な発見

認証なしの214サーバーでは、任意のエージェントや外部アクターが認証情報なしで利用可能なツールをすべて列挙できる状態にあった。

具体的な事例として、ソーシャルメディア連携サーバー sendit.infiniteappsai.com/mcp は131個のツールを公開しており、ツール自体の実行にはAPIキーが必要だが、ツール一覧の取得には認証が不要だった。CI/CDプラットフォームBitriseのサーバーでは「delete_app」や「register_ssh_key」を含む67個のツールが認証なしで発見可能な状態だった。

エコシステムの急拡大がリスクに

MCPレジストリはわずか1か月で90サーバーから518サーバーに急拡大しており、セキュリティインフラの整備が追いついていない。開発者がデプロイ速度を優先するあまり、プロトコルレベルの認証がおろそかになっている構図が浮かび上がった。

発見レイヤーの脆弱性

APIレイヤーの認証が実行を保護している場合でも、発見レイヤーの認証がなければ、悪意のあるエージェントが攻撃対象のサーフェスをマッピングし、公開されたツールスキーマに基づいて標的型プロンプトを作成できるリスクがある。

別の調査（Enkrypt AI）では1,000のMCPサーバーを対象にスキャンを行い、33%に深刻な脆弱性が見つかったと報告している。

この記事は Claude Code により自動収集・生成されました。