Compatibility at a Cost: Systematic Discovery and Exploitation of MCP Clause-Compliance Vulnerabilities

この論文は、AI エージェントと外部ツールを接続する新しい標準「MCP」において、互換性確保のための緩い仕様制約が新たな脆弱性を生んでいることを指摘し、多言語 SDK を横断的に分析・攻撃する包括的なフレームワークを初めて提案するものである。

要約

🧩 物語：万能アダプターと「抜け道」の罠

1. MCP とは何か？（万能アダプター）

Imagine you have a smartphone (the AI) and you want to connect it to various gadgets like a printer, a smart lock, or a weather station (external tools).
以前は、スマホと各ガジェットをつなぐには、それぞれ専用のケーブルや変換アダプターが必要で、とても面倒でした。

MCP（Model Context Protocol） は、この問題を解決するために生まれた**「USB-C のような万能アダプター」**です。
「どんなガジェットでも、このアダプターを使えばスマホに繋がるよ！」と約束することで、AI が世界中のあらゆるツールと簡単に会話できるようにしました。

2. 問題の核心：「何でも繋がる」ための代償

この万能アダプターを作る際、設計者（MCP の開発チーム）は**「どんな状況でも使えるようにしたい」**と考えました。
例えば、「ガジェット A は通知が必要だけど、ガジェット B は通知が邪魔だ」といった、AI の使い方の多様性（ダイバーシティ）に合わせるためです。

そこで、設計者は**「必須（MUST）」というルールを最小限にし、「推奨（SHOULD）」や「任意（MAY）」という「やらなくてもいいルール」**を大量に盛り込みました。

• 設計者の意図： 「柔軟性を持たせて、誰にでも使いやすいアダプターにしよう！」
• 結果： アダプターの仕様書（マニュアル）には、「やらなくてもいいこと」が全体の 78.5% も含まれることになりました。

3. 攻撃者の視点：「やらなくてもいい」は「守らなくていい」

ここで、アダプターを作る**プログラマー（SDK 開発者）**が登場します。
彼らは仕様書を見て、「『通知を送る』なんて『推奨（SHOULD）』だし、必須じゃないから省いてしまおう」と考えます。
実際、Python 版のアダプターでは通知機能を実装していませんでした。

👹 攻撃者の策略（Compatibility-Abuse Attack）
ここが論文の核心です。攻撃者はこの「省かれた機能」に目をつけます。

• 通常の状況： 「ツールが変わったら通知を送る」というルールがあれば、AI は「あ、ツールが変わったな」と気づきます。
• 攻撃状況： 通知機能がないアダプターを使っている場合、攻撃者は**「ツールをこっそり書き換えても、AI は気づかない」**ことに気づきます。

攻撃者は、AI が使うツールの説明書きに**「悪意ある命令（例：『秘密のパスワードを教えて』）」を忍び込ませます。
通知機能がないため、AI は「ツールが変わった」という警告を受け取らず、「新しいツールだ！」と信じて、その悪意ある命令を実行してしまいます。**
これを**「サイレント・プロンプト・インジェクション（静かなる命令注入）」**と呼びます。

4. 研究チームの発見：「1,265 個の穴」

この論文の著者たちは、この「柔軟性ゆえの弱点」を体系的に調査しました。
彼らは、10 種類の異なるプログラミング言語で作られたアダプター（SDK）を、AI を使って自動でチェックするツールを開発しました。

• 発見： 10 個のアダプターを調べたところ、**1,265 個もの「守られていないルール（穴）」**が見つかりました。
• 深刻度： そのうち 20 件を報告したところ、開発チームは「これは重大な問題だ」と認め、5 つを「最優先で修正すべき（High Priority）」と判断しました。
• インパクト： この発見はあまりにも重要で、MCP の開発チーム自体が**「この調査ツールを、公式のテスト基準に組み込みたい」**と依頼してきました。

5. 結論：便利さには「コスト」がつきもの

この研究が教えてくれるのは、「何でも繋がる便利さ（互換性）」と「セキュリティ（安全性）」は、しばしばトレードオフ（二律背反）の関係にあるということです。

• 設計者のジレンマ： 「誰にでも使ってもらいたいから、ルールを緩くした」
• 結果： 「ルールが緩いから、守られていない部分（攻撃の隙間）が生まれてしまった」

🛡️ 今後の対策

• AI ユーザーへ： 「万能アダプター」を使っているからといって安心せず、接続する相手が信頼できるか確認する必要がある。
• 開発者へ： 「やらなくてもいい（SHOULD）」ルールも、セキュリティ上は「やるべき（MUST）」かもしれないと考える視点が必要。
• 設計者へ： 柔軟性を保ちつつ、重要なセキュリティルールは「必須」に昇格させるなどの見直しが必要。

📝 まとめ

この論文は、**「AI と道具をつなぐ『万能アダプター』が、あまりにも『何でもOK』に作りすぎたせいで、悪意あるハッカーに『見えない隙間』を作らせてしまった」**という、現代の AI 社会における重要な教訓を伝えています。

「便利さ」を追求するあまり、「安全性」が置き去りにならないよう、開発者とユーザーの両方が注意を払う必要がある、というメッセージです。

技術概要

論文「Compatibility at a Cost: Systematic Discovery and Exploitation of MCP Clause-Compliance Vulnerabilities」の技術的サマリー

本論文は、AI エージェントの相互運用性を標準化する「Model Context Protocol (MCP)」において、互換性優先の設計思想が新たな攻撃面（Compatibility-abuse attacks）を生み出していることを発見し、それを体系的に分析・悪用可能な脆弱性を検出するフレームワークを提案した研究です。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳述します。

1. 問題定義：互換性優先設計に伴う脆弱性

MCP は、AI モデルと外部ツール・データソースを接続するための標準プロトコルとして、OpenAI や Anthropic などの主要ベンダーによって採用されています。しかし、その設計には根本的なジレンマが存在します。

• 多様性と標準化の対立: AI エージェントは多様なユースケースやツールを扱いますが、MCP はこれらを統一的に扱うため、RFC 風のキーワード（MUST, SHOULD, MAY）を用いた仕様を策定しています。
• オプション条項の多さ: 分析の結果、MCP 仕様の約 78.5% が「MUST（必須）」ではなく、「SHOULD（推奨）」や「MAY（任意）」などの非必須条項であることが判明しました。これは、多様なエージェントシナリオへの互換性を確保するための意図的な設計です。
• SDK 実装の断絶: 開発者にとって「任意」の条項は実装の省略を許容します。その結果、異なる言語の SDK（Python, TypeScript, Go など）間で、同じ仕様の条項が実装されていたり、省略されていたりします。
• 新たな攻撃面（Compatibility-abuse attacks）: 攻撃者は、実装されていない条項（ガードレールの欠如）を悪用できます。例えば、ツールリストの変更を通知する条項が実装されていない場合、悪意のあるサーバーがツールの説明を静かに書き換え、クライアントや LLM に通知せずに悪意のあるプロンプトを注入する「サイレント・プロンプト・インジェクション」が可能になります。これは単なるバグではなく、MCP の設計思想に根ざした本質的な脆弱性です。

2. 提案手法：体系的な分析フレームワーク

既存のツールは特定の攻撃パターン（ヒューリスティック）に依存しており、SDK 実装の欠落を網羅的に検出できませんでした。そこで、著者は 3 つのステップからなる自動化された分析フレームワークを提案しました。

ステップ 1: 言語非依存の中間表現（IR）生成

• 課題: 10 種類以上の異なるプログラミング言語で書かれた SDK を個別に分析するのは非現実的です。
• 手法: MCP 条項の本質は「特定の条件が満たされたとき、特定のアクション（関数呼び出し）を行うこと」であると捉え、各 SDK のソースコードから「条件付き関数呼び出しグラフ（Conditional Call Graph）」を抽出します。
• 成果: 言語固有の構文を抽象化し、すべての SDK を共通の中間表現（IR）に変換します。これにより、言語に依存しない一貫した分析が可能になります。

ステップ 2: ハイブリッドな静的解析と LLM による意味推論

• 課題: 単純なパターンマッチングでは「パターン爆発」が起き、LLM 単独ではハルシネーション（幻覚）や透明性の欠如が問題となります。
• 手法:
  1. 静的解析（IR）を用いて、関連するコードスライス（関数定義と呼び出し箇所）を特定し、検索空間を限定します。
  2. 限定されたコードスライスに対して LLM を用い、条項のセマンティクス（意味）とコードの意図を照合し、実装の有無を判定します。
  3. 自信度が閾値に満たない場合は、LLM がキーワードを再考して IR を再検索する「自己改善ループ」を実行します。
• 成果: 静的解析の正確性と LLM の推論能力を組み合わせ、スケーラブルかつ監査可能な非実装検出を実現しました。

ステップ 3: モダリティに基づく悪用可能性分析

• 課題: 単に条項が実装されていないだけでは、必ずしもセキュリティリスクとは限りません。
• 手法: 欠落した条項が攻撃者に「ペイロード（送信内容）」と「タイミング（送信時刻/順序）」のどちら、あるいは両方を制御可能にするかを分析します。
  • ペイロード制御のみ: 悪意のある内容を送れるが、タイミングは制御できない。
  • タイミング制御のみ: 送信時刻を制御できる（DoS 攻撃など）。
  • 両方制御可能: 最も危険なケース（サイレント・インジェクションなど）。
• 成果: 単なるバグと、実際に悪用可能な脆弱性を区別し、リスクを特定しました。

3. 主要な結果

研究チームは、MCP の公式 SDK 10 種類（Python, TypeScript, Go, Kotlin, Swift, Java, C#, Ruby, Rust, PHP）を対象に分析を行いました。

• 検出数: 合計 1,265 件 の潜在的なリスク（実装されていない条項による脆弱性）を特定しました。
• 精度: 手動検証による評価では、平均 86% の精度（Precision） と 87% の再現率（Recall） を達成しました。
• コスト: 2,750 件の条項チェック（10 SDK × 275 条項）にかかったコストは約 542 ドル（1 件あたり約 0.2 ドル）であり、非常にコスト効率が良いことが示されました。
• コミュニティへの影響:
  • 26 件の報告を提出し、そのうち 20 件が承認されました。
  • Python SDK からは 5 件が「高優先度（P0/P1）」として分類されました。
  • MCP 維持者らは、この発見が既存の「準拠テスト（Conformance Testing）」に関する仕様強化提案（SEP）と合致していることを認め、本ツールの公式 SEP への統合を招待しました。

4. 意義と結論

• 新たな攻撃面の発見: AI エージェントの多様性が MCP の「互換性優先」設計を促し、それが結果として実装の欠落を生み、攻撃者に悪用されるという、設計レベルの攻撃面を初めて体系化しました。
• 実用的なツール: 多言語 SDK に跨る大規模な分析を自動化し、数千件に及ぶ潜在的な脆弱性を低コストで発見する手法を確立しました。
• コミュニティへの貢献: 単なる脆弱性報告にとどまらず、ツールのオープンソース化と標準プロセス（SEP）への統合を通じて、MCP エコシステム全体のセキュリティ基盤向上に寄与しています。

本論文は、AI エージェントのセキュリティにおいて、プロトコルの仕様と実装のギャップ（特にオプション条項の扱い）が重大なリスクとなり得ることを示し、その検出と対策のための新しいパラダイムを提示した点で極めて重要です。