概要
TUUI は デスクトップ 向け の MCP(Model Context Protocol)クライアント で、ツール 統合 ユーティリティ として 設計 されて います。Markdown レンダリング コンポーネント に おける ECharts コード ブロック 内 で 任意 の JavaScript を 実行 可能 な XSS 脆弱性 が 存在 します。
さらに、プロセス 生成 を 許可 する IPC インタフェース が 公開 されて いる ため、XSS と 組み合わせ る こと で 悪意 の ある Markdown メッセージ を 表示 する だけ で 任意 の システム コマンド が 実行 されます。AI エージェント ツール の セキュリティ として 注目 すべき 事例 です。
技術的 背景
この 脆弱性 は 2つ の CWE に 分類 されます。CWE-79(クロスサイト スクリプティング)と CWE-94(コード インジェクション)の 組み合わせ です。
MCP クライアント は AI モデル と ローカル ツール を 接続 する ため の ソフトウェア で あり、デスクトップ アプリケーション として 動作 する 場合 は ローカル ファイルシステム や プロセス へ の アクセス 権限 を 持ちます。この 権限 モデル が XSS 脆弱性 と 組み合わさ る と、Web ブラウザ 上 の XSS とは 比較 に なら ない 影響 が 生じます。
具体的 に は、ECharts の レンダリング エンジン が サンドボックス なし で JavaScript を 実行 し、その 結果 として Electron / Tauri 等 の デスクトップ フレームワーク の IPC チャネル を 経由 して OS レベル の プロセス 生成 が 可能 に なります。AI エージェント が 生成 した Markdown を レンダリング する 際 に 攻撃 が トリガー される ため、悪意 の ある AI レスポンス や 改ざん された MCP サーバー から の 応答 が 攻撃 ベクトル と なります。
同日 に 報告 された CVE-2026-25546(Godot MCP サーバー の コマンド インジェクション)と 合わせて、MCP エコシステム の セキュリティ が 重要 な 課題 として 浮上 して います。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.6 |
| 深刻度 | Critical |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | 必要(Markdown 表示) |
| CWE | CWE-79 (XSS), CWE-94 (コードインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| TUUI | AI-QL | < 1.3.4 |
修正バージョンと回避策
- 修正バージョン: 1.3.4
- 回避策: 信頼 できない ソース から の Markdown コンテンツ を 開か ない こと。MCP サーバー の 接続 先 を 信頼 できる もの に 限定 する こと を 推奨 します
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。