Show HN: 87 個の MCP サーバーをエージェント権限衛生の観点でスキャンしました – リーダーボード

capframe.ai は、MCP（Model Context Protocol）サーバーのセキュリティリーダーボードを公開しました。このリーダーボードは、「エージェント権限衛生」（agent-authority hygiene）を評価するために設計されており、capframe という決定論的ルールエンジンを使用して、公開されている MCP サーバーを自動的にスキャンし、採点します。採点基準は 100 点満点で、重大（Critical）な問題が 1 つ見つかるごとに 10 点、高（High）で 4 点、中（Medium）で 2 点、低（Low）で 1 点が減点されます。ルールエンジンと採点式はすべて公開されています。

リーダーボードのデータによると、2026 年 6 月 26 日時点で合計 89 のサーバーがスキャンされました（実際の表示では 87 件）。そのうち、多くの有名プロジェクトが満点の 100 点を獲得し、セキュリティ上の問題は見つかりませんでした。これらの高得点サーバーには、magicnpm（@21st-dev/magic）、Cloudflare MCP Server（@cloudflare/mcp-server-cloudflare）、E2B MCP Server、Elasticsearch MCP Server、Playwright MCP Server、Stripe MCP、Notion MCP などが含まれます。これらのサーバーはツール定義、権限宣言などの点で良好であり、ルールエンジンに違反する問題は見つかりませんでした。

しかし、リーダーボードは多くのサーバーで中程度から高程度の重大性を持つセキュリティ問題があることも明らかにしました。最も一般的な中程度の問題（2 点減点）は、ツールのパラメータに maxLength 制約がないことです。例えば、Find-A-Domain MCP の check_domain ツール、Astro Docs MCP の search_astro_docs ツール、Exa Search MCP の web_search_exa ツールなどで、文字列の長さに制限がなく、攻撃者が間接インジェクション（indirect-injection）を利用して悪意のあるペイロードを仕込む可能性があります。修正方法としては、各文字列プロパティに maxLength 制約を追加するか、enum や pattern を使用して制限することが推奨されています。

もう一つの中程度の問題として、ツールの説明に「お金（money）」に関する単語が含まれているにもかかわらず、side_effects 宣言に money が含まれていないケースがあります。例えば、Cloudflare Docs MCP の search_cloudflare_documentation ツールは、請求に関する内容を含む説明を持っていますが、money 副作用が宣言されていません。これにより、ポリシーの迂回が可能になる可能性があります。

高程度の問題（4 点減点）は、OpenZeppelin Stellar Contracts MCP で見つかりました。その stellar-non-fungible ツールの tokenUri パラメータは URL を受け付けますが、pattern や enum による制約がありません。攻撃者は間接インジェクションを使ってエージェントに内部サービス（例：http://169.254.169.254/）を呼び出させ、クラウドメタデータの漏洩や SSRF（Server-Side Request Forgery）攻撃を仕掛ける可能性があります。修正方法としては、URL パラメータをホワイトリストで制限し、サーバー側で検証することが推奨されています。

リーダーボードは各サーバーの詳細な発見レポートも提供しており、ツール名、問題の説明、修正提案が含まれています。このプロジェクトの目的は、MCP サーバーエコシステムのセキュリティを向上させることであり、透明性の高い採点メカニズムを通じて開発者が自サーバーのセキュリティ状況を把握できるようにすることです。