Anthropic MCP Server Flaw Allows Sandbox Escape and Code Execution
2025/07/03 gbhackers — Anthropic の Filesystem MCP (Model Context Protocol) Server に新たに発見された脆弱性 CVE-2025-53110/CVE-2025-53109 が、AI を活用する環境に深刻なリスクをもたらしている。これらの脆弱性により、サンドボックス・エスケープ/不正なファイル・アクセス/任意のコード実行などが生じるという。Cymulate Research Labs により発見された、これらの脆弱性が浮き彫りにするのは、エンタープライズや開発者エコシステムで加速する MCP 採用が生み出す、深刻なセキュリティ・リスクの課題である。
Claude Desktop のような LLM (large language model) クライアントが外部のデータ/ツールとインタラクトするための、標準プロトコル Anthropic MCP が急速に普及している。
Node.js ベースで実装された Filesystem MCP Server は、AI によるファイル操作を “許可されたディレクトリ” のみに制限することで、安全なサンドボックス環境の提供を目的とするものだ。
脆弱性の詳細
| CVE ID | Name/Type | CVSS Score | Patched Version |
| CVE-2025-53110 | Directory Containment Bypass | 7.3 | 0.6.3 / 2025.7.1 |
| CVE-2025-53109 | Symlink Bypass to Code Exec | 8.4 | 0.6.3 / 2025.7.1 |
CVE-2025-53110:ディレクトリ制限回避
Filesystem MCP Server は、リクエストされたファイル・パスが、許可されたディレクトリの接頭辞で始まっていることを確認する。しかし、 “/private/tmp/allow_dir_sensitive” のようなパスを用いる攻撃者は、このチェックを回避し、サンドボックス外へのアクセスの可能性を得る。
この不正アクセスにより、サンドボックス外のファイルに対する無制限の一覧表示や、Read/Write が可能となり、データ漏洩や権限昇格につながるという。
CVE-2025-53109:シンボリックリンク回避によるコード実行
さらに深刻なのは、シンボリック・リンク解決におけるロジックの欠陥である。この脆弱性の悪用に成功した攻撃者は、許可されたディレクトリ内、あるいは、チェックを回避したディレクトリ内にシンボリック・リンクを作成し、任意のリケーション (例:/etc/sudoers) を指し示す機会を得る。
不適切なエラー処理が生じ、サーバはリンク先の実際のパスではなく、親ディレクトリだけを検証するため、重要なシステム・ファイルの Read/Write が可能になってしまう。
ーーーーー
たとえば、悪意の macOS Launch Agent plist を書き込むことで、連鎖的に任意のコード実行を達成し、サーバが昇格された権限で実行されている場合には、システム全体を侵害することも可能になるという。
推奨される対策
- 迅速なアップデート:Filesystem MCP Server を、2の脆弱性が修正されたバージョン 0.6.3/2025.7.1 へとアップグレードする。
- 最小権限の原則の徹底:MCP 関連の全サービスを、必要最小限の権限で実行する。
- 防御の検証:ディレクトリやシンボリックリンクの悪用に対して、検知機構が機能するかどうか、攻撃をシミュレーションして確認する。
MCP エコシステムが急速に拡大する中で、今回の脆弱性により強調されるのは、AI 駆動型の新たな脅威からの、機密性の高い環境への攻撃の阻止が急務であることだ。考慮すべきことは、AI 活用環境におけるセキュリティ・レビューの重要性と、迅速なパッチ適用の必要性である。
Anthropic の Filesystem MCP Server に発見された2件の脆弱性は、AI を活用する開発環境にとって深刻なリスクをもたらすものです。特に、許可された範囲を超えたファイル・アクセスや、コード実行の可能性は見過ごせないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、MCP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.