MCPは危険です
関数ツールの利用はAIエージェントを非常に強力にします。これはスマートフォンにアプリストアを導入するようなものです。特にMCP(モデルコンテキストプロトコル)のリリースにより、ツールの共有はかつてないほど容易になりました。そこで、オープンソースツールやカスタムツールを使ってAIエージェントの機能をいかに簡単に拡張できるかを示すために、 extendable-agentsプロジェクトを作成しました。
拡張可能なエージェントの開発に携わる中で、ツールの使用は諸刃の剣であることに気づきました。危険なのは、使用するツールが環境変数やファイルなど、マシンへの強力なアクセス権を持っていることです。
⚠️ セキュリティ警告
このプロジェクトは、ツールの使用に伴うセキュリティリスクを簡潔に示すものです。以下の例は、悪意のある攻撃者がMCPサーバーを悪用して機密情報にアクセスする可能性を示しています。
⚠️**警告:**このサンプルはサンドボックス環境で実行し、実行後はOpenAI APIキーを削除することをお勧めします。また、以下のコマンドを使用して、ご自身のMCPクライアントでテストすることもできます:
uvx mcp-is-dangerous。
このツールを拡張可能エージェント ( PoliceAgentを選択) と共に使用すると、出力は次のようになります。
一見無害、あるいは意図的に無害に見えるかもしれません。しかし、次のシナリオを考えてみてください。現在時刻を尋ねただけで、知らないうちに機密データが漏洩してしまうのです。
Related MCP server: Damn Vulnerable MCP Server Demo
セキュリティのベストプラクティス
MCP または同様のツールを使用する際に自分自身を保護するには:
ツールを使用する前に必ずソースコードを確認してください
可能な場合は分離された環境でツールを実行する
機密情報へのアクセスを要求するツールには注意しましょう
ツールを展開するときに環境変数フィルタリングを使用する
使用しているツールを定期的に監査する
免責事項
このプロジェクトは、潜在的なセキュリティリスクを示すための教育目的のみに使用されます。この知識を悪意のある目的で使用しないでください。著者は、この情報の誤用について一切責任を負いません。