当初のセキュリティ分析から1年後、著者らはModel Context Protocol（MCP）の実装を再訪し、実験段階から本番利用へと急速に進化していることを指摘しています。MCPは現在、モデルがソフトウェアとして機能することを可能にし、ツールインタラクションの周りに重要な信頼の境界を導入しています。最新のリリース候補における主な変更点には、リクエスト検査の強化、IDチェックの厳格化、サンドボックス化されたインタラクティブUI機能が含まれます。しかし、プロトコル自体はセキュリティを強制しないため、実装はユーザーに委ねられています。主なリスクは変化しており、プロンプトインジェクションとツールポイズニングは依然として重大な脅威です。このシナリオでは、ツール記述や出力に埋め込まれた悪意のある指示がエージェントのアクションを乗っ取り、データ漏洩や不正な操作につながる可能性があります。認可と混乱した副官問題は大幅な改修を経ており、現在はOAuth 2.1標準とオーディエンスバウンドトークンに準拠し、サーバーがユーザー権限を悪用することを防いでいます。過度に広範なアクセスと認証情報集約は依然として懸念事項であり、過剰な権限を持つ単一の侵害されたサーバーが広範な侵害につながる可能性があります。サプライチェーンリスクと「ラグプル」はますます蔓延しており、侵害された依存関係や予期しないサーバーの変更が脆弱性を導入する可能性があります。未登録の「シャドウMCP」実装もガバナンス上の課題を提示しており、見えないサーバーは保護またはパッチ適用できません。コマンドインジェクションとサンドボックスエスケープは、サニタイズされていない入力を処理するローカル実行サーバーにとって依然として懸念事項であり、任意のコード実行を可能にする可能性があります。企業は、サーバーインベントリ、IDとポリシーの強制、継続的な監視に焦点を当てた、意図的な採用戦略を採用する必要があります。現在のドキュメントとSDKの検証、および実践的な強化例への貢献は、組織にとって重要なステップです。著者は、MCPのセキュリティ機能とRFCへのコミュニティの貢献を奨励しています。今後の議論では、これらのセキュリティコントロールの実践的な実装ガイドについて掘り下げていきます。