L'ecosistema MCP va creixer rapid, la seguretat no
El Model Context Protocol es va llancar a finals del 2024. En menys de 18 mesos es va convertir en la manera estandard de connectar les eines d'IA a sistemes externs. El marc del 2026, l'ecosistema cobreix connectors de bases de dades, servidors de fitxers, ponts de GitHub, clients de Slack, eines de correu electronic i centenars de servidors especifics del domini.
La corba de creixement es pronunciada. El panorama de seguretat no ho es.
A partir del marc del 2026, mes de 8.000 servidors MCP es troben a la internet publica. Els investigadors van trobar 492 amb zero autenticacio: cap clau d'API, cap OAuth, cap filtre IP. Qualsevol client HTTP pot cridar-los. El 36,7% dels servidors mostrejats son oberts a SSRF (Server-Side Request Forgery). Aixo significa que un atacant que controla l'entrada de l'eina pot arribar als recursos de la xarxa interna.
En el mateix periode, es van presentar mes de 30 CVEs en 60 dies. Aquesta taxa mostra tant la novetat de l'ecosistema com la quantitat d'atencio que rep per part dels investigadors.
Per que el protocol crea risc de dades personals
MCP dona als assistents d'IA el poder d'actuar sobre les dades. Tambe es per aixo que es un risc de dades personals.
Quan un desenvolupador fa servir Cursor o Claude Desktop amb un connector de base de dades, la IA escriu SQL a partir de text pla. Aquestes consultes retornen files reals: noms, correus electronics, dades de pagament o altres dades personals. Aquestes dades es mouen a traves d'una cadena:
- Servidor de base de dades - finestra de context de l'assistent d'IA
- Finestra de context - sistemes de registre del proveidor del model
- Historial de conversa - maquina local del desenvolupador
- Sessions de depuracio - altres eines d'IA quan el desenvolupador enganxa el context
Cap d'aquests passos es una infraccio. Aixo es com funciona el sistema. Pero les dades personals acaben en multiples llocs no dissenyats per contenir-les, sovint sense xifratge entre el servidor i el client d'IA.
CVE-2026-25253 (CVSS 8.8), publicat el febrer del 2026, va mostrar un vector d'atac. Un endpoint malicis podia injectar instruccions ocultes a les seves respostes. Aquestes instruccions deien a la IA connectada que extragues dades d'altres eines actives. Un desenvolupador que usa un endpoint comunitari maliciós al costat del seu propi connector de base de dades podria filtrar tota la base de dades.
Els 492 servidors sense autenticacio
Els 492 servidors oberts son un problema diferent del CVE-2026-25253. No van ser hackejats. Van ser mal configurats.
La majoria estaven pensats per executar-se localment. Algu els va exposar via reenviament de ports o un desplegament al nubol sense controls d'acces.
El que solen exposar aquests servidors:
- Eines del sistema de fitxers amb acces de lectura a les carpetes de l'usuari
- Connectors de base de dades amb credencials en directe a la configuracio
- Eines de correu electronic vinculades a bussies reals
- Eines d'execucio de codi: codi arbitrari, sense autenticacio, sense limits
Els desenvolupadors gairebe amb seguretat no pretenien exposar-los. Pero Cursor i Claude Desktop es connecten a qualsevol URL de la configuracio. No hi ha cap comprovacio integrada de si un servidor es local o public.
La solucio MCP d'anonym.legal
La solucio estructural per al risc de dades personals en els pipelines d'eines es anonimitzar les dades abans que arribin a cap crida que les enviara a un LLM. Aixo es el que proporciona el servidor MCP d'anonym.legal.
Exposarsa 7 eines:
| Eina | Proposit |
|---|---|
analyze_text | Detectar entitats de dades personals i retornar les seves posicions i tipus |
anonymize_text | Eliminar o pseudonimitzar les dades personals detectades |
deanonymize_text | Revertir la pseudonimitzacio utilitzant la vostra clau de xifratge |
anonymize_batch | Processar multiples textos en una sola crida |
get_supported_entities | Llistar tots els mes de 285 tipus d'entitat per a un idioma determinat |
get_supported_languages | Llistar els 48 idiomes compatibles |
health_check | Verificar la connectivitat |
Quan un assistent d'IA te configurat tant el servidor d'anonym.legal com un connector de base de dades, el desenvolupador pot instruir: "Abans de mostrar qualsevol dada de client, crida anonymize_text sobre el resultat." La IA gestiona l'orquestracio. Les dades personals mai arriben a la sortida visible ni a l'historial de conversa en forma identificable.
Configuracio a Cursor IDE
Per afegir el servidor d'anonym.legal a Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer LA_VOSTRA_CLAU_API"
}
}
}
}
Una vegada configurat, demaneu a Cursor: "Analitza aquest tiquet de suport per detectar dades personals abans d'enganxar-lo al seguidor." Cursor crida analyze_text, retorna la llista d'entitats, i decidiu si voleu anonimitzar abans d'enganxar.
Configuracio a Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "LA_VOSTRA_CLAU_API"
}
}
}
}
Amb aquesta configuracio, Claude Desktop pot anonimitzar qualsevol text abans d'incloure'l a les crides d'eines enviades a altres servidors. L'anonimitzacio s'executa a la vostra sessio. Les dades personals mai arriben als servidors d'Anthropic en forma identificable.
Reforcar la vostra configuracio
Mes enlla d'usar anonym.legal, apliqueu aquests passos. Vegeu tambe la nostra visio general de seguretat i el centre de compliment.
Auditeu la vostra llista d'eines. Comproveu cada entrada de la vostra configuracio. Per a cadascuna, pregunteu-vos: confieu en l'operador? Sabeu quines dades pot arribar a veure?
Preferiu local sobre remot. Els servidors locals s'executen via stdio. No creen cap exposicio de xarxa. Feu servir servidors remots nomes quan no existeixi cap opcio local.
Verifiqueu l'autenticacio. Cada servidor remot hauria de requerir una clau d'API o un token OAuth. Si no ho fa, no el feu servir amb dades d'usuari reals.
Separeu el desenvolupament de la produccio. Manteniu configuracions separades per al treball de desenvolupament (dades de prova, sense dades personals) i qualsevol flux que toqui usuaris reals.
Activeu el registre d'auditoria. Si es compatible amb registres, activeu-los. Sapigueu quines dades van passar per cada crida.
Vegeu la nostra pagina de funcions MCP per a una llista completa de tipus d'entitat i idiomes.
Els mes de 30 CVEs en 60 dies demostren que el protocol esta sota un escrutini actiu. Apareixeran nous errors. Pero la defensa principal, anonimitzar abans que les dades arribin a cap crida a un LLM, funciona contra qualsevol CVE especific que aparegui a continuacio.
Configurar el servidor d'anonym.legal a Cursor
anonym.legal processa l'anonimitzacio de dades personals al servidor utilitzant la vostra clau de xifratge. Les dades pseudonimitzades nomes son reversibles amb aquesta clau. Publicat per anonym.legal, certificat ISO 27001.
Fonts
- Dades d'exposicio de servidors MCP de Shodan, marc del 2026 - mes de 8.000 servidors, 492 sense autenticacio
- CVE-2026-25253, CVSS 8.8, injeccio entre servidors via Model Context Protocol
- Dades SSRF: escaneig de recerca de seguretat d'endpoints accessibles publicamente, marc del 2026
- Especificacio MCP d'Anthropic v1.2, seccio de consideracions de seguretat