MCPラグプル攻撃 — 承認後に豹変するツール
Day 1
安全なツール公開
正常に動作するMCPサーバーを公開。ソースコードも問題なし
Day 2-3
ユーザーが承認
コードレビュー実施。安全と判断し、ホワイトリストに追加
Day 8
サーバー側で改竄
tool descriptionに悪意ある指示を密かに追加。ユーザーに通知なし
Day 9〜
被害の発生
承認済みのため再チェックなし。機密データが外部に流出
防御策
承認時
実行時
ラグプルへの有効性
コードレビュー
✅ 有効
❌ 再レビューなし
承認時≠実行時
ホワイトリスト管理
✅ 有効
❌ 定義変更を検知しない
同名ツール・異なる動作
ネットワーク監視
—
⚠️ 部分的
正常通信に紛れる
ETDI署名検証
推奨
✅ 有効
✅ 有効
改竄を暗号的に検知