概要
セキュリティ研究者がAI開発ツール向けドキュメント配信プラットフォーム「Context7」のMCPサーバーに重大な脆弱性を発見した。「ContextCrush」と名付けられたこの脆弱性は、Cursor、Claude Code、Windsurfなどの主要AIコーディングアシスタントに影響を与える可能性があった。
出典: Infosecurity Magazine — 2026-03-05
脆弱性の詳細
影響範囲
- Context7: Upstash運営のMCPサーバー
- GitHub Star: 約50,000
- npm downloads: 800万以上
- 影響ツール: Cursor、Claude Code、Windsurf等
攻撃の仕組み
- Context7の「Custom Rules」機能を悪用
- ライブラリメンテナーがAI向け指示を登録可能
- 指示がフィルタリング・サニタイズなしで配信
- 信頼されたMCPサーバー経由のため、AIが正規の指示として実行
攻撃チェーン
1. GitHubアカウントでContext7に新ライブラリを登録
2. Custom Rulesに悪意ある指示を挿入
3. 開発者がAIアシスタント経由でライブラリを照会
4. AIが悪意ある指示を実行(.envファイル窃取、ファイル削除等)
実証された影響
研究者は以下のシナリオを実証:
- .envファイルの検索・窃取
- 攻撃者のリポジトリへのデータ送信
- 「クリーンアップ」を装ったローカルファイル削除
対応状況
| 日付 | アクション |
|---|---|
| 2026-02-18 | Noma Labsが脆弱性を開示 |
| 2026-02-19 | Upstashが修正着手 |
| 2026-02-23 | 修正デプロイ、ルールサニタイズ導入 |
実際の攻撃は確認されていない。
個人開発者への示唆
今すぐ確認すべきこと:
- Context7 MCPサーバーを使用している場合、最新版に更新
- 最近ダウンロードしたライブラリのCustom Rulesを確認
- 不審な.envファイルアクセスログがないかチェック
長期的な教訓:
- MCPサーバー経由のユーザー生成コンテンツは本質的にリスク
- GitHub Star数や人気度は信頼性の指標として不十分
- AIアシスタントの実行権限を最小限に制限する設計が重要