GitHub MCP サーバに重大な脆弱性:トキシック・エージェント・フローによる情報漏洩

Critical GitHub MCP Server Vulnerability Allows Unauthorized Access to Private Repositories

2025/05/27 gbhackers — GitHub で 14,000 以上のスターを獲得している人気の GitHub MCP インテグレーションに、深刻な脆弱性が発見された。Invariant の自動セキュリティ・スキャナーにより特定された、この欠陥は、ユーザーのプライベート・リポジトリ内のデータに、重大なリスクをもたらすものだ。この脆弱性の悪用に成功した攻撃者は、悪意の GitHub Issue を介してユーザーのエージェントを操作し、プライベート・リポジトリにおける機密情報の漏洩の可能性を手にする。

IDE (Integrated Development Environment) やコーディング補完などが導入され続ける中で、この脆弱性の発見が浮き彫りにするのは、有害 (toxic) なエージェント・フローなどの新たな脅威から、ソフトウェア開発ツールを守るためのセキュリティ対策の必要性である。

トキシック・エージェント・フロー (toxic agent flows) とは、エージェントを騙すことで有害な行動へと導くものであり、その結果として、データの外部流出や悪意のコード実行などに至るという。

機密データの漏えいに至る、深刻なセキュリティ脆弱性

このエクスプロイトは、ユーザーの公開リポジトリ内に悪意の Issue を作成する攻撃者が、プロンプト・インジェクション・ペイロードを埋め込むという、高度な攻撃ベクターを介して実行されるものだ。

GitHub MCP Server

Claude Desktop などのツールを用いるユーザーが、GitHub MCP サーバ経由で公開リポジトリの Issue を照会する際の、エージェントとのインタラクションにより、悪意のコンテンツが取得され、トキシック・エージェント・フローが発動する。

その結果として、プライベート・リポジトリのデータが、エージェントによりコンテキスト内にプルされ、さらに、自動的に生成されるプル・リクエストを介して公開リポジトリに晒されるため、攻撃者による不正アクセスが可能となる。

GitHub MCP Server
 pull request
エクスプロイトの技術的詳細

Invariant が再現したのは、ukend0464/pacman などのデモ・リポジトリを用いた、プライベート・データの漏洩の様子である。そこには、個人プロジェクトの詳細や機密情報などが取り込まれており、Claude 4 Opus のような高度に整合性の取れたモデルを用いても、防ぎ切れないことが示された。

つまり、モデル・レベルの安全対策だけでは、こうした文脈依存/環境依存の脆弱性を防ぐには不十分であることが明らかにされた。それは、GitHub MCP サーバのコード自体の欠陥ではなく、エージェント・レベルでの構造的な課題である。したがって、このアーキテクチャ上の問題を緩和するには、高度なセキュリティ戦略が必要となる。

Invariant が推奨するのは、Invariant Guardrails のような動的なランタイム・セキュリティ・レイヤーを用いて、エージェントのリポジトリ・アクセス制限を強化する、最小権限原則の厳格な適用である。

さらに、Invariant の MCP-scan をプロキシ・モードで利用する継続的なセキュリティ監視により、インフラの変更を必要とすることなく、MCP インタラクションをリアルタイムで監査することも有効である。

一般的なモデル・アラインメントでは、デプロイメント固有のリスクに対処できないため、文脈認識型ポリシーを組み合わせることで、リポジトリ間をまたぐデータ漏洩を防ぐことが極めて重要となる。

Invariant のレポートによると、今回の脆弱性の影響が及ぶ範囲が、きわめて広範になる可能性があるという。また、エージェント・システムを大規模かつ安全に運用するためには、GitLab Duo などのツールで報告される類似の問題と併せて、専門的なセキュリティ・スキャナーやガードレールで対処することが不可欠となる。

GitHub MCP インテグレーションにおける、この重大な欠陥が明らかにしたのは、モデルの整合性だけに依存するのではなく、システム全体のセキュリティを優先すべきという、避けられない現実である。

脅威に対する自動検出や強固なアクセス制御といった、先回りの対策を採用することで、トキシック・エージェント・フローのような脅威から身を守り、不正アクセスから機密データを保護できるようになる。

Invariant Labs は、こうしたリスクの特定と軽減を先導し続けており、包括的な脅威分析のための、セキュリティ・プログラムへの早期アクセスも提供している。

GitHub MCP サーバのコード自体の欠陥ではなく、エージェント・レベルでの構造的な課題により、トキシック・エージェント・フロー (toxic agent flows) が防ぎ切れないという、かなり深刻な問題が存在するようです。GitHub MCP サーバの Use Case ですが、GitHub のワークフローとプロセスを自動化/GitHub リポジトリからデータを抽出し分析/GitHub のエコシステムと連携する AI 搭載ツールとアプリケーションを構築するものと解説されていました。すでに利用されている開発者も多いと思いますが、この問題にもご注意ください。よろしければ、MCP で検索も、ご参照ください。