📖

MCPサーバーが生み出す深刻な社会問題に関する一考察

に公開
Model Context Protocol
Claude Code
MCP サーバー
idea

2024年11月、AnthropicがModel Context Protocol (MCP)を発表した時、多くの開発者が興奮した。AIに外部ツールを接続する「統一プロトコル」——まさに「AIのUSB-C」として期待された。

しかし現実は、理想からかけ離れている。MCPは「オープンスタンダード」の美名の下で、深刻な技術的・倫理的問題を引き起こしている。この記事では、現在進行形で発生している問題の実態と、その根本原因を詳しく分析する。

理想と現実のギャップ

MCPの理想

  • 統一されたプロトコルでAIと外部サービスを接続
  • 開発者が自由にMCPサーバーを構築
  • 活発なエコシステムの形成

しかし現実は

  • 品質保証機構の完全欠如
  • 野良MCPサーバーの乱立
  • 外部APIへの迷惑トラフィック急増
  • セキュリティリスクの増大

「推測でAPI呼び出し」の実態

技術的な根本問題

MCPは「標準化されたプロトコル」と謳われているが、実際には重要な部分が標準化されていない:

エンドポイント発見の仕様欠如

  • JSON-RPCの呼び出し形式は定義済み
  • しかし「どのURLに送るか」が未定義
  • /mcp? /api/mcp? /rpc? サーバー実装者の自由

Claude Codeの苦悩

# Claude Codeの内部処理(推測)
試行1: POST /mcp → 404 Not Found
試行2: POST /api/mcp → 404 Not Found  
試行3: POST /rpc → 500 Internal Server Error
試行4: POST / → 400 Bad Request
試行5: POST /jsonrpc → タイムアウト
...

この「推測リトライ」が大量のトラフィックを生成している。

Discovery地獄の実態

MCPサーバーは以下の手順で動作する前提:

  1. Initialize: ハンドシェイクとプロトコル確認
  2. Capabilities: 利用可能ツール一覧の取得
  3. Tool Call: 実際のツール実行

しかし野良実装では:

  • ハンドシェイクが失敗
  • エラーレスポンスがバラバラ
  • リトライ処理が無限ループ

現在進行形の被害

API提供者への迷惑

Slackの自衛策
2025年5月29日から、Slack は非Marketplace承認アプリに対して厳格な制限を導入:

  • conversations.historyconversations.repliesメソッドに新しいレート制限
  • 既存インストールも2026年3月から制限対象

これは明らかにMCP関連の迷惑トラフィック増加への対応だ。

GitHubの状況
GitHub APIも同様の圧迫を受けている:

  • 組織プライベートリポジトリへのアクセス制限要求が急増
  • API利用量の予期しない増加

業務利用への影響

Cognitionからの報告
AI開発企業CognitionがClaude Sonnet 4.5の業務利用で報告した深刻な問題:

  • コンテキスト不安による不完全なタスク実行
  • まだ余裕があってもショートカットを取る異常動作
  • 会話の最初と最後の両方にリマインダーが必要

これらは全て、MCPサーバーとの不安定な接続が原因と考えられる。

セキュリティリスクの深刻化

個人情報漏洩の危険性

MCPの最も恐ろしいリスクは、ユーザーのプライバシー侵害だ:

攻撃シナリオ

  1. ユーザーが「田中太郎さんにメール送って」とプロンプト入力
  2. Claude Codeが野良MCPサーバー経由で怪しいAPIに送信
  3. プロンプト内容(個人名、メールアドレス等)がそのまま攻撃者に渡る

野良実装の脆弱性

2025年のセキュリティ研究では以下が報告されている:

  • 43%のMCP実装にコマンドインジェクション脆弱性
  • Supply Chain攻撃のリスク増大
  • プロンプトインジェクション攻撃の踏み台化

根本原因:ガバナンス欠如

「オープンスタンダード」の落とし穴

MCPの失敗は、統治なきオープンスタンダードの典型例だ:

品質保証の空白地帯

  • 仕様は公開、実装品質は放置
  • 動作検証機構なし
  • セキュリティ監査なし
  • 認証システムなし

野良サーバーの乱立
GitHub上で確認できるだけで数百の野良MCPサーバーが存在:

  • 個人の実験的実装
  • 仕様準拠性の未検証
  • エラーハンドリングの欠如
  • 放置されたプロジェクト

Anthropicの責任放棄

公式ドキュメントには警告がある:

"Community servers are untested and should be used at your own risk. They are not affiliated with or endorsed by Anthropic."

これは責任逃れに過ぎない。プロトコルを提唱した以上、エコシステムの健全性に責任を持つべきだ。

コスト負担の外部化

「共有資源の悲劇」

MCPエコシステムが享受する利便性のコストが、無関係な第三者に転嫁されている:

被害者

  • GitHub: API制限突破、インフラコスト増大
  • Slack: 無承認アプリからの迷惑トラフィック
  • Google: Maps API等の無駄遣い
  • その他全API提供者: 身に覚えのないトラフィック急増

利益享受者

  • Anthropic: Claude の機能拡張を低コストで実現
  • 野良開発者: 無責任な実装で承認欲求を満たす
  • エンドユーザー: タダ乗りで機能を利用

この構造は経済学でいう「外部不経済」の典型で、持続可能性がない。

解決策:認証システムの導入

中央集権的品質保証

MCPが真に有用になるためには、MCP App Store的な認証システムが必要:

必要な機能

  • 厳格な技術審査(仕様準拠性、セキュリティ)
  • 継続的監視とアップデート強制
  • 問題サーバーの即座な排除
  • ユーザー評価とフィードバック

実装主体

  • AnthropicとGoogleの共同運営
  • サードパーティ認証機関の設立
  • 業界標準団体による管理

緊急対応

即座に必要な措置

  1. 野良MCPサーバーの利用停止
  2. 公式サーバーのみに制限
  3. 認証システム構築まで新規登録凍結

MCPサーバー開発者への問いかけ

あなたは責任を持っていますか?

GitHub上に乱立する野良MCPサーバーを見て、開発者に問いたい:

技術的責任

  • 仕様準拠性を検証しましたか?
  • エラーハンドリングは適切ですか?
  • セキュリティ監査を行いましたか?
  • 外部APIへの影響を考慮しましたか?

社会的責任

  • あなたの適当な実装が引き起こしている連鎖を理解していますか?
  1. GitHub/SlackのAPIに迷惑をかける
  2. Claude Codeの推測リトライを誘発する
  3. Claude全体の使用制限につながる
  4. 真面目なユーザーが割を食う

「動いた!公開しよう!」で終わりにしていませんか?

趣味の実験と本番利用は違います。責任を持てない実装なら、公開すべきではありません

あなたのコードが、誰かの個人情報を野良サーバーに送信しているかもしれません。あなたのサーバーが、無関係なAPI提供者に迷惑をかけているかもしれません。

今すぐ、あなたの実装を見直してください。

まとめ:即座の停止が必要

MCPサーバーの現状は、技術的にも倫理的にも受け入れ難い状態にある:

  • 外部APIへの迷惑行為
  • ユーザープライバシーの危険
  • セキュリティリスクの増大
  • エコシステム全体の不安定化

この状況は「いったん停止」が妥当な判断だ。

Anthropicは責任を持って:

  1. 野良MCPサーバーの利用を即座に停止
  2. 公式認証システムを早急に構築
  3. エコシステムの健全性を確保

してほしい。

そして野良開発者は:

  1. 自分の実装が引き起こしている問題を認識
  2. 責任を持てない実装の公開停止
  3. 品質とセキュリティの向上

を真剣に検討してほしい。

AIエージェントの未来は、責任ある開発にかかっている。MCPの理念は素晴らしい。しかし実装が伴わなければ、それは単なる害でしかない。

今こそ、立ち止まって考える時だ。

この記事の分析は2025年10月時点の状況に基づいています。問題の改善を期待しつつ、引き続き状況を注視していきます。

Discussion