Show HN: 87のMCPサーバーをエージェント権限の衛生状態でスキャンした結果 – リーダーボード
MCP(Model Context Protocol)サーバーのセキュリティ衛生状態を評価するため、87のサーバーを自動スキャンし、エージェント権限の過剰付与や不適切な構成を可視化するリーダーボードを公開。この調査により、多くのサーバーが必要以上の権限を持っていることが明らかになり、開発者向けにベストプラクティスを提供する。
背景メモ
- MCP (Model Context Protocol)は、AIエージェント(ClaudeなどのLLM)が外部のツールやデータベースと安全に連携するためのプロトコル。Anthropicが主導する比較的新しい標準規格。
- このリーダーボードは、公開されている87のMCPサーバーを「エージェント権限の衛生状態」という観点でスキャンした結果。つまり、AIエージェントがそのサーバーに接続したときに、必要最低限の権限だけを与える設計になっているか、過剰な権限(ファイル削除や全DB操作など)を許してしまうかを評価している。
- 「権限の衛生(authority hygiene)」とは、最小権限の原則(PoLP)を指す。AIエージェントが自律的にツールを操作する時代において、サーバー側でどの操作を許可・禁止するかを細かく制御できるかがセキュリティ上の重要課題となっている。
- capframe.aiは、この種のセキュリティ評価を専門に行うプロジェクト。ランキング形式で公開することで、開発者が安全なMCPサーバーを選ぶ判断材料を提供している。