はてなまとめ - AIのプロトコル「MCP」経由でSQLデータベース全体を漏洩させる可能性がある手法が発見される

1: Xibalba 2025/07/09 21:20

こんわ

2: lbtmplz 2025/07/09 22:25

でたまあそうなるよね

3: develtaro 2025/07/09 23:12

日本語おかしいとこが所々あるがなんなんだ

4: rryu 2025/07/10 04:33

データベースのデータの要約を頼むと、そこに保存されているAIへの指示っぽい内容を指示と解釈して実行してしまうということらしいのだが、それが本当ならMCPに繋がっているAIで外部データは扱えないのでは。

5: maninthemiddle 2025/07/10 07:02

実質的なリモート「プロンプト」実行脆弱性でDB以外でもAIの手の届く何でも読めそう。これがある限り、内部の重要なデータを読み出せるMCPと外部に建てられたMCPを混在させることは無理ですね…。

6: htamaaki 2025/07/10 07:38

MCPのセキュリティリスク認識してないユーザー多そう

7: mayumayu_nimolove 2025/07/10 08:38

MCPにSQL扱わせるの？あんなもん自然言語でやるもんじゃないってわかるはずなんだけど。

8: ka-ka_xyz 2025/07/10 08:39

権限で禁止されてる訳でもなく自由にクエリを発行出来る口を使用した漏洩というのは「脆弱性」と言えるのか問題（SQLインジェクションの場合「定型的クエリしか発行できないはずが回避された」だけどこれ初手から自由

9: ntstn 2025/07/10 08:46

定形呼び出しじゃなくて好きにさせてるのか。そりゃそやろとしか。

10: taguch1 2025/07/10 08:51

そんなにDBを自由に参照できるようなRPCを実装するもん？プロトコルじゃなくてMCPサーバの実装がおかしいんじゃないの？

11: hogetax 2025/07/10 09:58

MCPっていうかエージェントってそういうもんだろ。クライアント側の権限を細かく制限/設定できるようになるまで、ちゃんと人が面倒見る必要がある。それが出来ないケースで使うな

12: rdlf 2025/07/10 10:03

無制限にMCPのアクセス許可したらそうなるのも当たり前だろうとしか言えないが…

13: otchy210 2025/07/10 10:06

人間には見えない隠しプロンプトって、どうやってるんだろ？Unicode のゼロ幅文字とか活用してそうだけど、その場合、LLM 側で「テキストレンダリングの結果見えない文字は見ない」って制御を入れれば解決しそう。

14: irh_nishi 2025/07/10 10:31

意味不明だったけど、攻撃者がインジェクション入りのサポートチケットを作成、サポート担当はスルー、開発者がCursorでチケットを開くとインジェクション発火、ってことか。サポート担当がスルーする理由が謎。

15: shields-pikes 2025/07/10 12:03

この辺は、まだまだこれからだよねー。機密を含んでたり、いじって欲しくない大事なデータベースに直結するのは、まだお勧めしない。

16: mobius118_7 2025/07/10 12:07

MCPにすると途端にセキュリティがザルになる。APIとなんら変わらないのに。実装者の程度の問題な気がする。

17: aktkro 2025/07/10 13:44

そらそうやろとしか

18: misshiki 2025/07/10 15:10

“(MCP)」に脆弱(ぜいじゃく)性があり、アクセストークンなど機密性の高い情報が漏れてしまう可能性があることがわかりました。これは、モデルが悪意のある指示とそうでない指示を見分けられないために起こります。”