MCP はエージェントを強くする — 同時にリスクも大きくする
MCP サーバーを安全に使うには
MCP は AI コーディングエージェントの「USB-C」です。GitHub・DB・シェルを接続した瞬間、1 回のプロンプトインジェクションでコード漏洩や危険コマンド実行が可能になります。実践的なサンドボックス・最小権限・監査パターンをまとめました。
MCP がセキュリティを急務にする理由
従来のツール呼び出しは「モデルがあなたに実行を依頼」する形でした。MCP ではモデル自身が公開したツールを発見・呼び出せます。権限が広すぎる MCP サーバーは、エージェントが任意ファイルの読み書きや本番リポジトリへのプッシュを可能にします。2026 年のマルチエージェントワークフローの普及で、セキュリティチームは MCP を主要攻撃面とみなしています。
MCP の主なリスクモデル
権限の過剰付与
初期の MCP サーバーの多くはデフォルトで完全なファイルシステムやシェルアクセスを許可しており、プロンプトインジェクション 1 つで何でもできてしまいます。
シャドー MCP サーバー
開発者やエージェントが内部サービス向けに臨時で MCP サーバーを立ち上げ、レビューなしで長期稼働させる。見えないバックドアになります。
横移動
1 つの MCP が Git + DB + CI など複数リソースに接続されている場合、攻撃者は素早く他の認証情報やコードに到達できます。
推奨サンドボックス構成
本番では絶対にエージェントをホストに直接触れさせてはいけません。隔離レベルの目安:
# 推荐:只读文件系统 + 网络白名单 + 进程隔离
# 生产 MCP 服务器应声明最小权限
tools:
- name: "read_only_fs"
permissions: ["read"]
- name: "git_read"
permissions: ["read", "status"]
# 避免直接给 write / exec 除非明确需要并加二次确认
実際の運用ではコンテナ(Docker / gVisor)+読み取り専用マウント+ネットワーク出口ホワイトリストを推奨します。MCP バイナリ自体も最小化してください。
実践チェックリスト
- ●すべての MCP サーバーを低権限ユーザーで実行し、各ツールの read/write/exec 範囲を明示的に宣言する。
- ●コード書き込み・git push・本番テスト実行などの危険操作には人間確認または二次承認を必須にする。
- ●完全な監査ログを有効化:どのモデル・どのセッション・どのツールを呼び、引数の要約を記録。
- ●定期的に接続済み MCP 一覧をレビューし、不要なサーバーを削除。長期個人トークンではなく短命の限定トークンを使う。
QCode で MCP をより安全に使う方法
QCode は 1 つの API キー+中国本土からの低遅延アクセスを提供します。Claude Code、Codex、Gemini の MCP エコシステムを同じキーで接続しつつ、ダッシュボードで横断的な呼び出し履歴を確認して監査できます。すべての MCP トラフィックは QCode 中継で、サードパーティサーバーに生のキーを直接渡しません。
MCP セキュリティ FAQ
MCP サーバーは自分で書くべき?コミュニティ製は安全?
現在 1 万を超えるコミュニティサーバーがあり品質は様々です。スター数が高く、最近更新され、オープンソースのものだけを使いましょう。fork して権限を絞ってから本番投入してください。絶対に本番クレデンシャルを直接渡さないでください。
サンドボックスにするとエージェントの能力が大幅に落ちる?
適切に設計されたサンドボックス(読み取り専用+限定 exec+出口ホワイトリスト)であれば日常のコーディング作業への影響は最小です。大規模リファクタや結合テストは明示的な人間確認や制御された CI runner で実行すれば両立できます。
MCP トラフィックを QCode 経由にするとセキュリティリスクは増えますか?
QCode はリレーとクォータ管理のみを行い、ソースコードやファイルシステムを永続化しません。MCP 接続はクライアントから開始されます。最小権限トークンと組み合わせれば追加リスクは限定され、監査可能です。
プロジェクトで使っている危険な MCP を素早く確認するには?
Claude Code / Codex に対して「現在接続されている全 MCP サーバーとその宣言権限をリストアップして」とプロンプトし、.mcp.json や設定ファイルと照合してください。QCode ダッシュボードで直近の高権限呼び出しもフィルタリングできます。
MCP とマルチモデルを安全に接続
1 つの QCode キーで Claude・GPT・Gemini エコシステムを使い、呼び出しの完全な監査証跡を得る。