MCP-økosystemet voksede hurtigt — sikkerheden gjorde ikke
Model Context Protocol blev lanceret i slutningen af 2024. På under 18 måneder blev det standardmåden at forbinde AI-værktøjer til eksterne systemer. Pr. marts 2026 dækker økosystemet databaseforbindelser, filservere, GitHub-brugere, Slack-klienter, e-mailværktøjer og hundredvis af domænespecifikke servere.
Vækstkurven er stejl. Sikkerhedsbilledet er det ikke.
Pr. marts 2026 sidder 8.000+ MCP-servere på det offentlige internet. Forskere fandt 492 med nul godkendelse — ingen API-nøgle, ingen OAuth, ingen IP-filter. Enhver HTTP-klient kan kalde dem. 36,7% af udtagne servere er åbne for SSRF (Server-Side Request Forgery). Det betyder, at en angriber, der kontrollerer værktøjsinput, kan nå interne netværksressourcer.
I samme periode blev der indgivet 30+ CVE'er på 60 dage. Den rate viser både, hvor nyt økosystemet er, og hvor meget forskeropsyn det får.
Hvorfor protokollen skaber PII-risiko
MCP giver AI-assistenter evnen til at handle på data. Det er også grunden til, at det er en PII-risiko.
Når en udvikler bruger Cursor eller Claude Desktop med en databaseforbinder, skriver AI'en SQL fra almindelig tekst. Disse forespørgsler returnerer rigtige rækker — navne, e-mails, betalingsdata eller anden PII. Disse data bevæger sig gennem en kæde:
- Databaseserver → AI-assistentens kontekstvindue
- Kontekstvindue → modeludbyderens logsystemer
- Samtaleoversigt → udviklerens lokale maskine
- Fejlsøgningssessioner → andre AI-værktøjer, når udvikleren indsætter kontekst
Intet af dette er et brud. Det er sådan, systemet fungerer. Men PII ender på flere steder, der ikke er bygget til at opbevare den, ofte uden kryptering mellem server og AI-klient.
CVE-2026-25253 (CVSS 8,8), offentliggjort i februar 2026, viste én angrebsvej. Et ondsindet endpoint kunne injicere skjulte instruktioner i sine svar. Disse instruktioner bad den tilsluttede AI om at trække data fra andre aktive værktøjer. En udvikler, der bruger et dårligt community-endpoint ved siden af sin egen databaseforbinder, kunne lække hele databasen.
De 492 nul-godkendelses-servere
De 492 åbne servere er et andet problem end CVE-2026-25253. De blev ikke hacket. De blev sat forkert op.
De fleste var beregnet til at køre lokalt. Nogen eksponerede dem via port-forwarding eller en cloud-implementering uden adgangskontroller.
Hvad disse servere typisk eksponerer:
- Filsystemværktøjer med læseadgang til hjemmemapper
- Databaseforbindere med live-legitimationsoplysninger i konfigurationen
- E-mailværktøjer knyttet til rigtige indbakker
- Kodeudførelsesværktøjer — vilkårlig kode, ingen godkendelse, ingen grænser
Udviklerne mente næsten bestemt ikke at eksponere dem. Men Cursor og Claude Desktop forbinder til enhver URL i konfigurationen. Der er ingen indbygget kontrol for, om en vært er lokal eller offentlig.
anonym.legal MCP-løsningen
Den strukturelle løsning på PII-risiko i værktøjspipelines er at anonymisere data, inden de når et kald, der sender dem til en LLM. Det er det, anonym.legal MCP-serveren tilbyder.
Den eksponerer 7 værktøjer:
| Værktøj | Formål |
|---|---|
analyze_text | Registrer PII-enheder og returner deres positioner og typer |
anonymize_text | Fjern eller pseudonymiser registreret PII |
deanonymize_text | Vend pseudonymisering om ved hjælp af din krypteringsnøgle |
anonymize_batch | Behandl flere tekster i ét kald |
get_supported_entities | Oplist alle 285+ enhedstyper for et givent sprog |
get_supported_languages | Oplist alle 48 understøttede sprog |
health_check | Bekræft tilslutning |
Når en AI-assistent har både anonym.legal-serveren og en databaseforbinder konfigureret, kan udvikleren instruere: "Inden du viser kundedata, skal du kalde anonymize_text på resultatet." AI'en håndterer orkestreringen. PII når aldrig det synlige output eller samtaleoversigten i identificerbar form.
Cursor IDE-opsætning
For at tilføje anonym.legal-serveren til Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Når det er konfigureret, bed Cursor: "Analyser denne supportbillet for PII, inden jeg indsætter den i trackeren." Cursor kalder analyze_text, returnerer enhedslisten, og du beslutter, om du vil anonymisere inden indsætning.
Claude Desktop-opsætning
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Med denne konfiguration kan Claude Desktop anonymisere enhver tekst, inden den indgår i værktøjskald sendt til andre servere. Anonymiseringen kører i din session. PII når aldrig Anthropics servere i identificerbar form.
Forstærk din opsætning
Ud over at bruge anonym.legal skal du anvende disse trin. Se også vores sikkerhedsoversigt og overholdelses center.
Revidér din værktøjsliste. Tjek hver post i din konfiguration. For hver enkelt: stoler du på operatøren? Ved du, hvilke data den kan nå?
Foretræk lokal frem for ekstern. Lokale servere kører via stdio. De skaber ingen netværkseksponering. Brug kun fjernservere, når der ikke findes et lokalt alternativ.
Tjek godkendelse. Enhver fjernserver bør kræve en API-nøgle eller OAuth-token. Hvis den ikke gør det, må du ikke bruge den med rigtige brugerdata.
Adskil dev fra produktion. Hold separate konfigurationer til dev-arbejde (testdata, ingen PII) og enhver strøm, der rører rigtige brugere.
Aktivér revisionslogning. Hvis det understøtter logs, slå dem til. Vid, hvilke data der gik igennem hvert kald.
Se vores MCP-funktionsside for en fuld liste over enhedstyper og sprog.
De 30+ CVE'er på 60 dage viser, at protokollen er under aktiv granskning. Nye fejl vil dukke op. Men kerneforsvaret — anonymiser inden data når et LLM-kald — virker mod enhver specifik CVE, der kommer næste gang.
Konfigurer anonym.legal-serveren i Cursor →
anonym.legal behandler PII-anonymisering serversidigt ved hjælp af din krypteringsnøgle. Pseudonymiserede data kan kun reverseres med den nøgle. Udgivet af anonym.legal, ISO 27001-certificeret.
Kilder
- Shodan MCP-servereksponeringsdata, marts 2026 — 8.000+ servere, 492 nul-godkendelse
- CVE-2026-25253, CVSS 8,8, tværserver-injektion via Model Context Protocol
- SSRF-data: sikkerhedsforskningsscan af offentligt tilgængelige endpoints, marts 2026
- Anthropic MCP-specifikation v1.2, sektion om sikkerhedsovervejelser