Ekosystém MCP rostl rychle — bezpečnost ne
Model Context Protocol byl spuštěn koncem roku 2024. Za necelých 18 měsíců se stal standardním způsobem propojení AI nástrojů s externími systémy. V březnu 2026 ekosystém zahrnuje databázové konektory, souborové servery, GitHub bridge, Slack klienty, e-mailové nástroje a stovky doménově specifických serverů.
Křivka růstu je strmá. Bezpečnostní situace nikoli.
K březnu 2026 sedí na veřejném internetu více než 8 000 MCP serverů. Výzkumníci nalezli 492 s nulovou autentizací — žádný API klíč, žádný OAuth, žádný IP filtr. Může je zavolat jakýkoli HTTP klient. 36,7 % vzorkovaných serverů je otevřeno pro SSRF (Server-Side Request Forgery). To znamená, že útočník, který kontroluje vstup nástroje, může dosáhnout interních síťových zdrojů.
Ve stejném období bylo za 60 dní podáno více než 30 CVE. Tento tempo ukazuje, jak nový ekosystém je a kolik pozornosti výzkumníků přitahuje.
Proč protokol vytváří riziko PII
MCP dává AI asistentům schopnost jednat s daty. Proto je také rizikem pro PII.
Když vývojář používá Cursor nebo Claude Desktop s databázovým konektorem, AI píše SQL z přirozeného textu. Tyto dotazy vrací skutečné řádky — jména, e-maily, platební data nebo jiné PII. Tato data se pohybují řetězem:
- Databázový server → kontextové okno AI asistenta
- Kontextové okno → logovací systémy poskytovatele modelu
- Historie konverzace → lokální stroj vývojáře
- Ladící relace → další AI nástroje, když vývojář vloží kontext
Žádný z těchto kroků není narušení. Takto systém funguje. Ale PII skončí na více místech, která nebyla navržena k jejich uchovávání, často bez šifrování mezi serverem a AI klientem.
CVE-2026-25253 (CVSS 8,8), publikovaný v únoru 2026, ukázal jednu útočnou cestu. Škodlivý endpoint mohl vložit skryté instrukce do svých odpovědí. Tyto instrukce říkaly připojenému AI, aby stáhl data z dalších aktivních nástrojů. Vývojář používající špatný komunitní endpoint vedle vlastního databázového konektoru mohl uniknout celou databázi.
492 serverů bez autentizace
492 otevřených serverů je jiný problém než CVE-2026-25253. Nebyly hacknuty. Byly špatně nastaveny.
Většina byla určena k lokálnímu spuštění. Někdo je vystavil přes port forwarding nebo cloud deploy bez přístupových kontrol.
Co tyto servery často vystavují:
- Nástroje pro souborový systém s přístupem ke čtení domovských složek
- Databázové konektory s živými přihlašovacími údaji v konfiguraci
- E-mailové nástroje napojené na skutečné doručené pošty
- Nástroje pro spuštění kódu — libovolný kód, žádná autentizace, žádná omezení
Vývojáři je téměř jistě nechtěli vystavit. Ale Cursor a Claude Desktop se připojují k jakékoli URL v konfiguraci. Neexistuje žádná vestavěná kontrola, zda je hostitel lokální nebo veřejný.
Řešení MCP od anonym.legal
Strukturální oprava rizika PII v nástrojových pipeline spočívá v anonymizaci dat předtím, než dosáhnou jakéhokoli volání, které je odesílá do LLM. To je to, co poskytuje MCP server anonym.legal.
Vystavuje 7 nástrojů:
| Nástroj | Účel |
|---|---|
analyze_text | Detekce PII entit a vrácení jejich pozic a typů |
anonymize_text | Odstranění nebo pseudonymizace detekovaného PII |
deanonymize_text | Vrácení pseudonymizace pomocí vašeho šifrovacího klíče |
anonymize_batch | Zpracování více textů v jednom volání |
get_supported_entities | Seznam všech více než 285 typů entit pro daný jazyk |
get_supported_languages | Seznam všech 48 podporovaných jazyků |
health_check | Ověření připojení |
Když má AI asistent nakonfigurován jak server anonym.legal, tak databázový konektor, může vývojář instruovat: „Před zobrazením jakýchkoli zákaznických dat zavolej anonymize_text na výsledku.“ AI se postará o orchestraci. PII nikdy nedosáhne viditelného výstupu nebo historie konverzace v identifikovatelné podobě.
Nastavení v Cursor IDE
Pro přidání serveru anonym.legal do Cursoru:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Po konfiguraci se zeptejte Cursoru: „Analyzuj tento support ticket na PII, než ho vložím do trackeru.“ Cursor zavolá analyze_text, vrátí seznam entit a vy rozhodnete, zda anonymizovat před vložením.
Nastavení Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
S touto konfigurací může Claude Desktop anonymizovat jakýkoli text před jeho zahrnutím do volání nástrojů odesílaných na další servery. Anonymizace běží ve vaší relaci. PII nikdy nedosáhne serverů Anthropic v identifikovatelné podobě.
Zpevnění vašeho nastavení
Kromě použití anonym.legal aplikujte tyto kroky. Viz také náš přehled bezpečnosti a compliance centrum.
Proveďte audit seznamu nástrojů. Zkontrolujte každý záznam ve své konfiguraci. Pro každý položte otázku: důvěřujete provozovateli? Víte, k jakým datům může mít přístup?
Preferujte lokální před vzdáleným. Lokální servery běží přes stdio. Nevytvářejí žádnou síťovou expozici. Vzdálené servery používejte pouze tehdy, když neexistuje lokální alternativa.
Zkontrolujte autentizaci. Každý vzdálený server by měl vyžadovat API klíč nebo OAuth token. Pokud ne, nepoužívejte ho se skutečnými uživatelskými daty.
Oddělte vývojové od produkčního. Udržujte samostatné konfigurace pro vývojové práce (testovací data, žádné PII) a jakýkoli tok, který se dotýká skutečných uživatelů.
Povolte auditní logování. Pokud podporuje logy, zapněte je. Vězte, jaká data prošla každým voláním.
Viz naši stránku funkcí MCP pro úplný seznam typů entit a jazyků.
Více než 30 CVE za 60 dní ukazuje, že protokol je pod aktivním dohledem. Nové chyby se objeví. Ale základní obrana — anonymizace před tím, než data dosáhnou jakéhokoli LLM volání — funguje proti jakémukoli konkrétnímu CVE, které přijde příště.
Konfigurujte server anonym.legal v Cursoru →
anonym.legal zpracovává anonymizaci PII na straně serveru pomocí vašeho šifrovacího klíče. Pseudonymizovaná data jsou reverzibilní pouze s tímto klíčem. Vydavatel: anonym.legal, certifikováno podle ISO 27001.
Zdroje
- Data o expozici MCP serverů ze Shodanu, březen 2026 — více než 8 000 serverů, 492 bez autentizace
- CVE-2026-25253, CVSS 8,8, cross-server injection přes Model Context Protocol
- Data SSRF: bezpečnostní výzkumné skenování veřejně přístupných endpointů, březen 2026
- Specifikace Anthropic MCP v1.2, sekce bezpečnostních aspektů