Die MCP-ekostelsel Het Vinnig Gegroei -- Sekuriteit Nie
Die Model Context Protocol het laat in 2024 geloods. In minder as 18 maande het dit die standaardmanier geword om KI-instrumente aan buite stelsels te koppel. Teen Maart 2026 dek die ekostelsel databasisverbinders, leerbedieners, GitHub-bruee, Slack-kliente, e-posinstrumente en honderde domein-spesifieke bedieners.
Die groeilyn is steil. Die sekuriteitsprentjie nie.
Vanaf Maart 2026 sit 8,000+ MCP-bedieners op die openbare internet. Navorsers het 492 met nul verifikasie gevind -- geen API-sleutel, geen OAuth, geen IP-filter. Enige HTTP-klient kan hulle oproep. 36.7% van gesteekproefde bedieners is oop vir SSRF (Bediener-Kant Versoek-Vervalsing). Dit beteken 'n aanvaller wat instruksieinset beheer, kan interne netwerkhulpbronne bereik.
In dieselfde tydperk is 30+ CVE's in 60 dae ingediend. Daardie tempo toon beide hoe nuut die ekostelsel is en hoeveel navorserfokus dit kry.
Waarom Die Protokol PII-risiko Skep
MCP gee KI-assistente die mag om op data op te tree. Dit is ook waarom dit 'n PII-risiko is.
Wanneer 'n ontwikkelaar Cursor of Claude Desktop met 'n databasisverbinder gebruik, skryf die KI SQL uit gewone teks. Daardie navrae gee werklike rye terug -- name, e-posse, betalingsdata of ander PII. Daardie data beweeg deur 'n ketting:
- Databasisslabbediener -- KI-assistent se konteksvenster
- Konteksvenster -- modelverskaffers se aantekenstelsels
- Gespreksgeskiedenis -- ontwikkelaar se plaaslike masjien
- Ontfoutsessies -- ander KI-instrumente wanneer die ontwikkelaar konteks plak
Geen van hierdie stappe is 'n skending nie. Dit is hoe die stelsel werk. Maar PII beland op verskeie plekke wat nie gebou is om dit te bevat nie, dikwels sonder enkriptering tussen bediener en KI-klient.
CVE-2026-25253 (CVSS 8.8), gepubliseer in Februarie 2026, het een aanvalspad gewys. 'n Kwaadwillige eindpunt kon verborge instruksies in sy reaksies inspuit. Daardie instruksies het die gekoppelde KI vertel om data van ander aktiewe instrumente te trek. 'n Ontwikkelaar wat 'n slegte gemeenskapseindpunt langs hul eie databasisverbinder gebruik, kon die hele databasis lek.
Die 492 Nul-Verifikasie-bedieners
Die 492 oop bedieners is 'n ander probleem as CVE-2026-25253. Hulle is nie gehack nie. Hulle is verkeerd opgestel.
Die meeste was bedoel om plaaslik te loop. Iemand het hulle via poortoorsturing of 'n wolkontplooiing sonder toegangsbeheer blootgestel.
Wat hierdie bedieners dikwels blootstel:
- Leerstelselhulpmiddels met leestoegang na huisgidse
- Databasisverbinders met lewendige geloofsbriewe in die konfigurasie
- E-posinstrumente gekoppel aan werklike inkashokkies
- Kode-uitvoeringsinstrumente -- arbitrere kode, geen verifikasie, geen grense
Die ontwikkelaars het waarskynlik nie bedoel om hulle bloot te stel nie. Maar Cursor en Claude Desktop koppel na enige URL in die konfigurasie. Daar is geen ingeboude kontrole of 'n gasheer plaaslik of openbaar is nie.
Die anonym.legal MCP-oplossing
Die struktuuroplossing vir PII-risiko in instrumenpylyne is om data te anonimiseer voordat dit 'n oproep bereik wat dit na 'n LLM stuur. Dit is wat die anonym.legal MCP-bediener bied.
Dit stel 7 instrumente bloot:
| Instrument | Doel |
|---|---|
analyze_text | Bespeur PII-entiteite en gee hul posisies en tipes terug |
anonymize_text | Stroop of pseudonimiseer bespeurde PII |
deanonymize_text | Keer pseudonimisering om met jou enkripsiesleutel |
anonymize_batch | Verwerk verskeie tekste in een oproep |
get_supported_entities | Lys alle 285+ entiteitstipes vir 'n gegewe taal |
get_supported_languages | Lys alle 48 ondersteunde tale |
health_check | Verifieer konnektiwiteit |
Wanneer 'n KI-assistent beide die anonym.legal-bediener en 'n databasisverbinder opgestel het, kan die ontwikkelaar instruksies gee: "Voor die vertoon van enige klientedata, roep anonymize_text op die resultaat." Die KI hanteer orkestrasie. PII bereik nooit die sigbare uitvoer of gespreksgeskiedenis in identifiseerbare vorm nie.
Cursor IDE-opstelling
Om die anonym.legal-bediener by Cursor te voeg:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer JOU_API_SLEUTEL"
}
}
}
}
Eenmaal opgestel, vra Cursor: "Ontleed hierdie ondersteuningskaartjie vir PII voor ek dit in die naspoorder plak." Cursor roep analyze_text op, gee die entiteitslys terug, en jy besluit of jy voor die plak wil anonimiseer.
Claude Desktop-opstelling
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "JOU_API_SLEUTEL"
}
}
}
}
Met hierdie konfigurasie kan Claude Desktop enige teks anonimiseer voor dit in hulpmiddeloproepe na ander bedieners ingesluit word. Die anonimisering loop in jou sessie. PII bereik nooit Anthropic se bedieners in identifiseerbare vorm nie.
Verskerp Jou Opstelling
Buite die gebruik van anonym.legal, pas hierdie stappe toe. Sien ook ons sekuriteits-oorsig en nakomingsentrum.
Ouditeer jou instrumentlys. Kontroleer elke inskrywing in jou konfigurasie. Vir elkeen, vra: vertrou jy die operateur? Weet jy watter data dit kan bereik?
Verkies plaaslik bo afgeleë. Plaaslike bedieners loop via stdio. Hulle skep geen netwerkblootstelling nie. Gebruik afgeleë bedieners slegs wanneer geen plaaslike opsie bestaan nie.
Kontroleer verifikasie. Elke afgeleë bediener behoort 'n API-sleutel of OAuth-teken te vereis. As dit nie so is nie, moenie dit met werklike gebruikersdata gebruik nie.
Skei ontwikkeling van produksie. Hou afsonderlike konfigurasies vir ontwikkelingswerk (toetsdata, geen PII) en enige stroom wat werklike gebruikers raak.
Skakel oudit-aantekening in. As dit logs ondersteun, skakel dit aan. Weet watter data deur elke oproep gegaan het.
Sien ons MCP-kenmerke-bladsy vir 'n volledige lys van entiteitstipes en tale.
Die 30+ CVE's in 60 dae toon dat die protokol aktiewe ondersoek ondergaan. Nuwe foute sal verskyn. Maar die kernverdediging -- anonimiseer voor data enige LLM-oproep bereik -- werk teen enige spesifieke CVE wat volgende kom.
Stel die anonym.legal-bediener in Cursor op
anonym.legal verwerk PII-anonimisering bediener-kant met jou enkripsiesleutel. Gepseudonimieerde data is slegs omkeerbaar met daardie sleutel. Gepubliseer deur anonym.legal, ISO 27001-gesertifiseer.
Bronne
- Shodan MCP-bedienerblootstellingsdata, Maart 2026 -- 8,000+ bedieners, 492 nul-verifikasie
- CVE-2026-25253, CVSS 8.8, kruisbediener-inspuiting via Model Context Protocol
- SSRF-data: sekuriteitsnavorsingsskandering van publiek toeganklike eindpunte, Maart 2026
- Anthropic MCP-spesifikasie v1.2, sekuriteitsoorwegings-afdeling