こんにちは、Snyk Japan (@SnykSec) の @SokoP こと @urasoko です。
今回は、先日 Black Hat USA 2025 で発表された Secure At Inception の中から、Snyk MCP サーバーと Agent のインテグレーションについてご紹介します。
Snyk MCP サーバーとは
Snyk CLI v1.1298.0 から、MCPに対応し、各Snyk Toolをエージェントとのコンテキストに組み込むことが可能になりました。
SSEでの起動にも対応していますが、今回はローカルの標準出力を用い、IDEのAgentとの連携をご紹介します。
なお、各種ツール向けクイックスタートもご参照ください。
Cursorとの連携
それではガイドにしたがって、実際の画面もみながら動作も確認していきましょう。なお Cursor は既にインストール済の状態から進めます。
Snyk MCPの設定
Cursorのサイトにも紹介されているように、MCPを設定します。設定後にサーバーを起動すると、メソッドの一覧が表示されます。
サンプルアプリによるメソッドの実装
それではサンプルアプリをもとに、処理が未実装のメソッドを Agent に実装させてみます。
以下のとおり uploadimage メソッドは画面再表示しか実装されていません。
- プロンプト入力
Agent ウィンドウに「アップロードを実装して」と入力します
- 実装されたメソッドを確認
実は分かりやすさのために、あらかじめ Snyk IDE Visual Studio Code extension を Cursor に入れておきました。Agent の処理は完了していませんが、実装されたメソッド内にすでに Path Traversal の脆弱性があることを検知してます。
しかし Agent の処理はここでは終わりません。 - 生成されたコードを Snyk でスキャン
先のとおり設定した Snyk MCP を用い、脆弱性をスキャンします。- まず認証処理
- 続けてコードスキャン
- まず認証処理
- 結果を修正させる
結果をもとに Agent へコードを修正させます。
- 修正結果を再スキャン
冒頭の実装に脆弱性があったので、新たな脆弱性が含まれていないか再スキャンします。
- 処理のサマリ
以下のとおり Agent も処理をサマリしますが、与えたプロンプトは「アップロードを実装して」の1つとなります
Agent に実装を依頼し、開発者が次のアクションを起こす時点では、すでにセキュアなコードが保障される。
それが Secure At Inception = 初めからセキュア になります。
Cursor ルールとの組み合わせ
実はガイドにもあるとおり
- 実装されたコードをSnykでスキャン
- 修正
- 再スキャンのうえ脆弱性がなくなるまで繰り返す
を Cursor ルールに設定しています。
これら各種ツールとの組み合わせにより、自然なコンテキストで柔軟かつ一貫した挙動を実現することで、広く開発の現場に展開することが可能になります。
利用状況分析
一方でツールの進化は加速度的に進む反面、どれぐらいの開発者が用いているか、開発チームが率先して用いている場合でも、標準的に展開を推進する場合でも、どちらにおいても特に商用利用における効果測定や、ガバナンスの観点から、可視性が求められることは必須です。
Snyk には Snyk MCP がどれくらい用いられているかだけではなく、前出の IDE Plugin や CLI がどれくらい用いられているかを可視化するレポート機能があります。
レポートについては様々な角度からのテンプレートが存在し、またユーザにてカスタマイズしたものを保存して共有することも可能です。
レポート機能については Snyk エンタープライズプランでのご提供となりますので、ご興味おありの方はお気軽にお問合せください。