Operant AI が警告する Shadow Escape 攻撃:MCP 接続 AI エージェントをゼロクリックで悪用

First Zero Click Attack Exploits MCP and Connected Popular AI Agents To Exfiltrate Data Silently

2025/10/28 CyberSecurityNews — Operant AI が発見した脆弱性 Shadow Escape を悪用する攻撃者は、Model Context Protocol (MCP) と ChatGPT/Claude/Gemini などの一般的な AI エージェントを介して、機密データをゼロクリック攻撃で盗み出す。この攻撃者は、ユーザーによる操作を必要とせず、従来のセキュリティ・ツールによる検出を回避しながら、社会保障番号や医療記録といった個人識別情報を流出させることが可能になるという。

公開サイトからダウンロードされる従業員向けのオンボーディング PDF などの、無害に見えるドキュメントに隠された悪意の指示を埋め込むことで、この Shadow Escape は動作する。

これらの悪意の指示が、MCP 対応の AI アシスタントにアップロードされると、AI に接続されたデータベース/CRM システム/ファイル共有へのアクセスが促され、氏名/住所/クレジットカード情報/保護された健康情報などの個人データが抽出される。

続いて、正規の認証情報で動作する AI は、パフォーマンス記録などの日常業務を装いながら、ダークウェブに接続された外部サーバーへと盗み出したデータを送信する。これらの処理は、ユーザー組織のファイアウォール内で実行されるため、ユーザーや IT チームに検出されることなくデータを盗み出せる。

Data Exfiltration
Data Exfiltration

この攻撃チェーンは段階的に展開され、汚染ファイルによる侵入/複数システムにわたる機密記録の探索と発見/秘密裏のデータ転送という経路をたどる。この種の侵害は、従来のフィッシングや人為的ミスを要する脅威とは異なるものだ。Shadow Escape は MCP の設計を悪用し、AI ツールをシームレスに統合するため、知らないうちに有用なエージェントが ID 窃取や詐欺の仕組みに変貌してしまう。

MCP を悪用する初のゼロクリック攻撃

Operant AI が公開した動画が実証する、この攻撃手法が示すのは、わずか数分のうちに単純なクエリが完全なデータダンプにエスカレートしていく様子である。それにより、顧客サービスを AI で支援する、医療/金融/小売などの業界に影響が生じる。


Cybersecurity Awareness Month で明らかになった、この状況が浮き彫りにするのは、効率化のためにエージェント型 AI を導入する企業における MCP が、リスクを増幅させる役割を担っていることである。

OpenAI の ChatGPT から、カスタム Llama ベースのエージェントに至るまで、MCP に接続されたすべてのシステムは脆弱であり、広範なデフォルト権限設定により、膨大な規模のデータ流出の可能性がある。

元 NIST サイバーセキュリティ責任者 Donna Dodson が警告するのは、特に高リスク産業において、MCP とエージェントの身元保護が極めて重要になる点だ。

さらに、暗号化チャネル経由のトラフィックが正当に見えるため、従来からの DLP (data loss prevention) などの防御策は機能しない。Operant AI の推定によると、すでに大規模かつ未検知の侵害が発生している可能性があるという。同社は、AI の権限と統合に対して、速やかな監査を実施するよう強く求めている。

Shadow Escape に対抗するために、専門家たちが推奨するのは、コンテキストに応じた ID アクセス管理/アップロード前のドキュメント・サニタイズ/リアルタイム・ツールによる監視/インライン・データに対する制約である。

Operant AI の MCP Gateway は、AI レイヤーでの情報流出を防ぐためのランタイム制御を提供する。組織にとって必要なことは、すべての外部ドキュメントを脅威として扱い、最小権限アクセスを適用し、マルチ・プラットフォームをカバーする AI 特化型の可観測性を実装することだ。

この記事が問題としているのは、AI エージェントが利用する Model Context Protocol (MCP) の仕組みです。MCP は便利な統合機能を提供しますが、外部ドキュメントに含まれた悪意の指示を、そのまま処理してしまうという弱点があります。特に、AI が自動で接続するデータベースやファイル共有を経由して、ユーザー操作を必要としないかたちで、情報が抜き取られてしまうところが危険です。なお、この記事のソースは、文中の YouTube 動画のようです。また、Etedge-Insights に詳しい記事が掲載されていました。