MCP সার্ভার সিকিউরিটি ২০২৬: ৮,০০০ উন্মুক্ত, ৪৯২টিতে কোনো প্রমাণীকরণ নেই

MCP ইকোসিস্টেম দ্রুত বেড়েছে — নিরাপত্তা তেমন বাড়েনি

Model Context Protocol ২০২৪ সালের শেষের দিকে চালু হয়েছিল। ১৮ মাসেরও কম সময়ে এটি AI টুলকে বাইরের সিস্টেমের সাথে সংযুক্ত করার স্ট্যান্ডার্ড পদ্ধতি হয়ে উঠেছে। মার্চ ২০২৬ পর্যন্ত, ইকোসিস্টেমে ডেটাবেস কানেক্টর, ফাইল সার্ভার, GitHub ব্রিজ, Slack ক্লায়েন্ট, ইমেইল টুল এবং শত শত ডোমেন-নির্দিষ্ট সার্ভার অন্তর্ভুক্ত।

বৃদ্ধির বক্ররেখা খাড়া। নিরাপত্তার চিত্র তা নয়।

মার্চ ২০২৬ পর্যন্ত, ৮,০০০+ MCP সার্ভার পাবলিক ইন্টারনেটে আছে। গবেষকরা ৪৯২টি শূন্য প্রমাণীকরণ সহ পেয়েছেন — কোনো API key নেই, কোনো OAuth নেই, কোনো IP ফিল্টার নেই। যেকোনো HTTP ক্লায়েন্ট এগুলো কল করতে পারে। নমুনা করা সার্ভারের ৩৬.৭% SSRF (Server-Side Request Forgery)-এর জন্য খোলা। এর অর্থ একজন আক্রমণকারী যে টুল ইনপুট নিয়ন্ত্রণ করে সে অভ্যন্তরীণ নেটওয়ার্ক রিসোর্সে পৌঁছাতে পারে।

একই সময়কালে, ৬০ দিনে ৩০+ CVE দাখিল করা হয়েছে। এই হার দেখায় ইকোসিস্টেম কতটা নতুন এবং এটি কতটা গবেষকদের মনোযোগ পাচ্ছে।

কেন প্রোটোকল PII ঝুঁকি তৈরি করে

MCP AI সহায়কদের ডেটার উপর কাজ করার ক্ষমতা দেয়। এটি PII ঝুঁকির কারণও।

যখন একজন ডেভেলপার ডেটাবেস কানেক্টর সহ Cursor বা Claude Desktop ব্যবহার করেন, AI সাধারণ টেক্সট থেকে SQL লেখে। সেই কোয়েরিগুলো আসল রো ফেরত দেয় — নাম, ইমেইল, পেমেন্ট ডেটা বা অন্যান্য PII। সেই ডেটা একটি চেইনের মধ্য দিয়ে চলে:

1. ডেটাবেস সার্ভার → AI সহায়কের কনটেক্সট উইন্ডো
2. কনটেক্সট উইন্ডো → মডেল প্রোভাইডারের লগ সিস্টেম
3. কথোপকথনের ইতিহাস → ডেভেলপারের স্থানীয় মেশিন
4. ডিবাগ সেশন → অন্যান্য AI টুল যখন ডেভেলপার কনটেক্সট পেস্ট করেন

এর কোনোটিই লঙ্ঘন নয়। এটাই সিস্টেম যেভাবে কাজ করে। কিন্তু PII এমন একাধিক জায়গায় শেষ হয় যা এটি ধারণ করার জন্য তৈরি নয়, প্রায়ই সার্ভার এবং AI ক্লায়েন্টের মধ্যে কোনো এনক্রিপশন ছাড়াই।

CVE-2026-25253 (CVSS 8.8), ফেব্রুয়ারি ২০২৬-এ প্রকাশিত, একটি আক্রমণের পথ দেখিয়েছে। একটি ক্ষতিকারক এন্ডপয়েন্ট তার রেসপন্সে লুকানো নির্দেশনা ইনজেক্ট করতে পারে। সেই নির্দেশনাগুলো সংযুক্ত AI-কে অন্য সক্রিয় টুল থেকে ডেটা টেনে আনতে বলেছিল। যে ডেভেলপার তাদের নিজস্ব ডেটাবেস কানেক্টরের পাশে একটি খারাপ কমিউনিটি এন্ডপয়েন্ট ব্যবহার করেন তিনি সমগ্র ডেটাবেস ফাঁস করতে পারেন।

৪৯২টি শূন্য-প্রমাণীকরণ সার্ভার

৪৯২টি খোলা সার্ভার CVE-2026-25253 থেকে আলাদা সমস্যা। সেগুলো হ্যাক করা হয়নি। সেগুলো ভুলভাবে সেট আপ করা হয়েছে।

েশিরভাগ স্থানীয়ভাবে চালানোর উদ্দেশ্যে ছিল। কেউ পোর্ট ফরওয়ার্ডিং বা কোনো অ্যাক্সেস কন্ট্রোল ছাড়া ক্লাউড ডিপ্লয়ের মাধ্যমে সেগুলো উন্মুক্ত করেছে।

এই সার্ভারগুলো প্রায়ই যা উন্মুক্ত করে:

• হোম ফোল্ডারে রিড অ্যাক্সেস সহ ফাইল সিস্টেম টুল
• কনফিগে লাইভ credentials সহ ডেটাবেস কানেক্টর
• আসল ইনবক্সের সাথে সংযুক্ত ইমেইল টুল
• কোড এক্সিকিউশন টুল — যেকোনো কোড, কোনো auth নেই, কোনো সীমা নেই

ডেভেলপাররা প্রায় নিশ্চিতভাবে সেগুলো উন্মুক্ত করতে চাননি। কিন্তু Cursor এবং Claude Desktop কনফিগে যেকোনো URL-এ সংযুক্ত হয়। একটি হোস্ট স্থানীয় নাকি পাবলিক তা পরীক্ষার কোনো বিল্ট-ইন ব্যবস্থা নেই।

anonym.legal MCP সমাধান

টুল পাইপলাইনে PII ঝুঁকির কাঠামোগত সমাধান হলো কোনো কলে ডেটা LLM-এ পাঠানোর আগে অ্যানোনিমাইজ করা। anonym.legal MCP সার্ভার এটাই প্রদান করে।

এটি ৭টি টুল উন্মুক্ত করে:

যখন একটি AI সহায়কের anonym.legal সার্ভার এবং একটি ডেটাবেস কানেক্টর উভয়ই কনফিগার করা থাকে, তখন ডেভেলপার নির্দেশ দিতে পারেন: "যেকোনো গ্রাহকের ডেটা দেখানোর আগে, ফলাফলে anonymize_text কল করুন।" AI অর্কেস্ট্রেশন পরিচালনা করে। PII কখনো দৃশ্যমান আউটপুটে বা কথোপকথনের ইতিহাসে সনাক্তযোগ্য আকারে পৌঁছায় না।

Cursor IDE সেটআপ

Cursor-এ anonym.legal সার্ভার যোগ করতে:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

কনফিগার হলে, Cursor-কে জিজ্ঞেস করুন: "ট্র্যাকারে পেস্ট করার আগে এই সাপোর্ট টিকেটটি PII-এর জন্য বিশ্লেষণ করুন।" Cursor analyze_text কল করে, এন্টিটি তালিকা ফেরত দেয় এবং আপনি পেস্ট করার আগে অ্যানোনিমাইজ করবেন কিনা সিদ্ধান্ত নেন।

Claude Desktop সেটআপ

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

এই কনফিগ দিয়ে, Claude Desktop অন্য সার্ভারে পাঠানো টুল কলে অন্তর্ভুক্ত করার আগে যেকোনো টেক্সট অ্যানোনিমাইজ করতে পারে। অ্যানোনিমাইজেশন আপনার সেশনে চলে। PII কখনো Anthropic-এর সার্ভারে সনাক্তযোগ্য আকারে পৌঁছায় না।

আপনার সেটআপ শক্তিশালী করুন

anonym.legal ব্যবহারের বাইরে, এই পদক্ষেপগুলো প্রয়োগ করুন। আমাদের সিকিউরিটি ওভারভিউ এবং কমপ্লায়েন্স সেন্টারও দেখুন।

আপনার টুল তালিকা অডিট করুন। আপনার কনফিগের প্রতিটি এন্ট্রি পরীক্ষা করুন। প্রতিটির জন্য জিজ্ঞেস করুন: আপনি কি অপারেটরকে বিশ্বাস করেন? এটি কোন ডেটায় পৌঁছাতে পারে তা কি আপনি জানেন?

রিমোটের চেয়ে লোকাল পছন্দ করুন। লোকাল সার্ভার stdio-এর মাধ্যমে চলে। এগুলো কোনো নেটওয়ার্ক এক্সপোজার তৈরি করে না। শুধুমাত্র তখনই রিমোট সার্ভার ব্যবহার করুন যখন কোনো লোকাল বিকল্প নেই।

প্রমাণীকরণ পরীক্ষা করুন। প্রতিটি রিমোট সার্ভারের API key বা OAuth টোকেন প্রয়োজন হওয়া উচিত। যদি না হয়, আসল ব্যবহারকারীর ডেটা দিয়ে ব্যবহার করবেন না।

ডেভ থেকে প্রোডাকশন আলাদা রাখুন। ডেভ কাজের জন্য (টেস্ট ডেটা, কোনো PII নেই) এবং আসল ব্যবহারকারীদের স্পর্শ করে এমন যেকোনো ফ্লোর জন্য আলাদা কনফিগ রাখুন।

অডিট লগিং সক্ষম করুন। যদি এটি লগ সমর্থন করে, চালু করুন। জানুন প্রতিটি কলের মধ্য দিয়ে কোন ডেটা গেছে।

এন্টিটি টাইপ ও ভাষার সম্পূর্ণ তালিকার জন্য আমাদের MCP ফিচার পেজ দেখুন।

৬০ দিনে ৩০+ CVE দেখায় প্রোটোকল সক্রিয় পরীক্ষার অধীনে। নতুন বাগ দেখা দেবে। কিন্তু মূল প্রতিরক্ষা — কোনো LLM কলে ডেটা পৌঁছানোর আগে অ্যানোনিমাইজ করা — পরবর্তী যেকোনো নির্দিষ্ট CVE-এর বিরুদ্ধে কাজ করে।

Cursor-এ anonym.legal সার্ভার কনফিগার করুন →

anonym.legal আপনার এনক্রিপশন key ব্যবহার করে সার্ভার-সাইডে PII অ্যানোনিমাইজেশন প্রক্রিয়া করে। সিউডোনিমাইজড ডেটা শুধুমাত্র সেই key দিয়েই বিপরীত করা যায়। anonym.legal দ্বারা প্রকাশিত, ISO 27001 সার্টিফাইড।

সূত্র

• Shodan MCP সার্ভার এক্সপোজার ডেটা, মার্চ ২০২৬ — ৮,০০০+ সার্ভার, ৪৯২ শূন্য-auth
• CVE-2026-25253, CVSS 8.8, Model Context Protocol-এর মাধ্যমে ক্রস-সার্ভার ইনজেকশন
• SSRF ডেটা: সর্বজনীনভাবে অ্যাক্সেসযোগ্য এন্ডপয়েন্টের নিরাপত্তা গবেষণা স্ক্যান, মার্চ ২০২৬
• Anthropic MCP specification v1.2, নিরাপত্তা বিবেচনা বিভাগ