Flowise の深刻な脆弱性:Anthropic MCP アダプタ経由でのコマンド実行の恐れ

Critical Vulnerability In Flowise Allows Remote Command Execution Via MCP Adapters

2026/04/20 CyberSecurityNews — Flowise などの AI フレームワークに存在する深刻な脆弱性が発見され、数百万ユーザーがリモート・コード実行 (RCE) の危険にさらされている。この欠陥を発見した OX Security は、Anthropic が開発した AI エージェント向け通信規格 Model Context Protocol (MCP) に起因するとし、広く使用されている標準に内在する問題であると指摘している。

一般的なソフトウェア・バグとは異なり、この脆弱性は Python/TypeScript/Java/Rust 向けの Anthropic 公式 MCP SDK に組み込まれた、アーキテクチャ設計上の判断に起因する。このため、MCP を基盤として開発を行う開発者は、無意識のうちにリスクを継承することになる。攻撃対象は単一プラットフォームに限定されず、AI サプライチェーン全体へと波及する。

MCP のコアに存在するアーキテクチャ欠陥

この欠陥を突く攻撃者は、脆弱なシステム上で任意のコマンドを実行し、機密性の高いユーザーデータ/内部データベース/API キー/チャット履歴へ直接アクセスすることが可能となる。

現実に OX Security は、調査中に 6 つの本番プラットフォームでコマンド実行に成功している。特に人気のオープンソース AI ワークフロー・ビルダーである Flowise においては、追加防御が施された環境でも、MCP アダプタ・インターフェイス経由で悪用可能なハードニング・バイパスの攻撃ベクターが特定されている。

MCP Disclosure (Source: OX security)
MCP Disclosure (Source: OX security)

その影響範囲は極めて広範であり、約 20 万の脆弱なインスタンスが、エコシステム全体に存在すると推定され、公開サーバ数は 7000 以上/ダウンロード数は 1億5000 万を超えるとされる。これまでに、LiteLLM/LangChain/GPT Researcher/Windsurf/DocsGPT/IBM LangFlow などにおいて、少なくとも 10 件の CVE が発行されるという深刻な事態に至っている。

4 種類の攻撃パターンが確認されている:

  • 認証不要の UI インジェクション (主要 AI フレームワーク)
  • Flowise のような「保護された」環境におけるハードニング・バイパス
  • 悪意ある MCP サーバ配布 (11 の MCP レジストリ中 9 カ所で汚染成功)
  • Windsurf/Cursor などの AI IDE におけるゼロクリック・プロンプト・インジェクション
Anthropic はプロトコルレベル修正を拒否

OX Security が Anthropic に対して繰り返し提案したのは、数百万の下流ユーザーを保護するためのルート・レベルでのパッチであるが、Anthropic は想定内の挙動と位置付け、修正を拒否した。その一方で、研究者による情報公開について、同社は異議を示さなかった。

セキュリティ・チームは、以下を直ちに実施すべきである:

  • 機密 API やデータベースに接続された AI サービスのインターネット公開を遮断する
  • すべての外部 MCP コンフィグ入力を非信頼とみなし、ユーザー入力が StdioServerParameters に到達しないよう制限する
  • MCP サーバは公式 GitHub MCP Registry など信頼済みソースからのみ導入する
  • MCP 対応サービスは最小権限のサンドボックス環境で実行する
  • AI エージェントのツール呼び出しを監視し、異常な外部通信を検知する
  • 影響を受けるすべてのサービスを最新パッチ適用版へ即時更新する

OX Security は、顧客向けのプラットフォーム・レベル防御機能を提供しており、ユーザー入力を含む STDIO MCP コンフィグを是正の対象とした、検出を可能としている。

今回の問題は、AI エージェント同士を繋ぐ標準規格である MCP (Model Context Protocol) の設計そのものに原因があります。一般的なプログラムの書き間違いではなく、SDK の作り方という深層にリスクが潜んでいるため、開発者が気づかないうちに脆弱性を引き継いでしまう点が非常に特殊です。この設計上の判断により、本来は安全なはずの環境でも、攻撃者にコマンド実行を許す恐れがあります。現時点において、LiteLLM/LangChain/Flowise などのフレームワークに影響が及んでおり、すでに 10 件以上の CVE が発行されています。ご利用のチームは、ご注意ください。よろしければ、2026/04/20 の「Anthropic MCP の複数の脆弱性:最大 20万台サーバに大規模な RCE リスク」も、ご参照ください。