CVE-2025-49596として報告されたリモートコード実行(RCE)脆弱性が2025年4月に責任あるセキュリティ開示で報告され、2025年6月13日に修正版がリリースされた。
CVSSスコアは9.4で、バージョン0.14.1未満が影響を受ける。InspectorはAI開発者向けのデバッグツールで、認証の欠如とデフォルトで0.0.0.0:6277をリッスンする設定が、Webブラウザの「0.0.0.0 Day」脆弱性およびCSRFと組み合わさることで、悪意あるウェブサイト経由でコマンド実行が可能となる
。修正版の0.14.1ではセッショントークン認証とOriginヘッダー検証が導入され、問題は解消された。
From: 
Critical Vulnerability in Anthropic’s MCP Exposes Developer Machines to Remote Exploits
【編集部解説】
この脆弱性は、AI開発ツールの初期設定や認証設計の重要性を改めて示しています。MCP Inspectorは開発者の利便性を重視した設計でしたが、認証や通信の暗号化がデフォルトで無効となっていたことで、攻撃者が悪意あるウェブサイト経由で開発端末にリモートコードを実行できるリスクが生じました。
特に「0.0.0.0 Day」と呼ばれる2006年頃から存在するブラウザの仕様的脆弱性と組み合わさることで、ネットワーク分離が不十分な開発環境では深刻な被害につながる可能性があります。Anthropic社は脆弱性報告から1日で修正版を公開し、セッショントークン認証とOriginヘッダー検証を導入しました。
今後はAI開発ツールにおいてもゼロトラストや最小権限といった原則を初期設計から組み込むことが求められます。AI技術の進化と安全性の両立は、社会全体の信頼構築に直結する課題です。
【用語解説】
CVE-2025-49596:
Anthropic MCP Inspectorに発見されたリモートコード実行脆弱性。CVSS 9.4。
0.0.0.0 Day:2006年頃から存在するWebブラウザの脆弱性。IPアドレス0.0.0.0の扱いを悪用し、ローカルサービスへの攻撃経路となる。
CSRF(クロスサイトリクエストフォージェリ):
外部サイトからユーザーのブラウザを介して不正リクエストを送信する攻撃手法。
MCP Inspector:
Anthropic社が開発したAI向けデバッグ・テストツール。
セッショントークン認証:一時的な識別子でセッションを管理し、認証強化を図る方式。
【参考リンク】
Anthropic(外部)
AI安全性と研究に注力する企業。ClaudeシリーズやMCPプロトコルを開発。
Oligo Security(外部)
サイバーセキュリティ研究機関。MCP Inspectorの脆弱性を発見・報告。
MCP Inspector公式ドキュメント(外部)
MCPサーバーのテスト・デバッグツールに関する技術情報。
GitHub MCP Inspector(外部)
開発者向けツールのソースコードと使用方法が公開。
【参考動画】
【参考記事】
CVE-2025-49596 – NVD(外部)
脆弱性の技術的概要、影響バージョン、CVSSスコアなどを公式に掲載。
Critical RCE in MCP Inspector Exposes AI Devs to Web-Based Exploits(外部)
攻撃経路や開発者への影響、修正内容などをセキュリティリサーチャー視点で解説。
Anthropic MCP Inspector Remote Code Execution – Tenable(外部)
脆弱性報告の経緯と技術的詳細をまとめたレポート。
CVE-2025-49596 Impact, Exploitability, and Mitigation Steps | Wiz(外部)
影響範囲や回避策を簡潔にまとめている。
【編集部後記】
AI開発環境のセキュリティ対策について、皆さんはどのような工夫をされていますか?今回の事例は、初期設定や認証設計の重要性を改めて考えさせられます。
もし実践している対策や課題意識があれば、ぜひinnovaTopia編集部にも共有してください。皆さんと一緒に、より安全なAI技術の未来を考えていければ嬉しいです。
