anonym.legal
بازگشت به وبلاگامنیت هوش مصنوعی

امنیت سرور MCP در ۲۰۲۶: ۸,۰۰۰ در معرض نمایش، ۴۹۲ بدون احراز هویت

بیش از ۸,۰۰۰ سرور Model Context Protocol به صورت عمومی در معرض هستند. ۴۹۲ هیچ احراز هویتی ندارند. ۳۶.۷٪ آسیب‌پذیر به SSRF هستند. از اطلاعات شخصی در ابزارهای MCP خود محافظت کنید.

March 16, 20267 دقیقه مطالعه
MCP serverModel Context ProtocolAI securityPII protectionCursorClaude Desktopdeveloper security

اکوسیستم MCP سریع رشد کرد — امنیت نکرد

Model Context Protocol در اواخر ۲۰۲۴ راه‌اندازی شد. در کمتر از ۱۸ ماه به روش استاندارد اتصال ابزارهای هوش مصنوعی به سیستم‌های خارجی تبدیل شد. تا مارس ۲۰۲۶، اکوسیستم شامل کانکتورهای پایگاه داده، سرورهای فایل، پل‌های GitHub، کلاینت‌های Slack، ابزارهای ایمیل، و صدها سرور تخصصی است.

منحنی رشد تند است. تصویر امنیتی نه.

تا مارس ۲۰۲۶، بیش از ۸,۰۰۰ سرور MCP در اینترنت عمومی هستند. محققان ۴۹۲ بدون هیچ احراز هویتی پیدا کردند — هیچ کلید API، هیچ OAuth، هیچ فیلتر IP. هر HTTP client می‌تواند آن‌ها را فراخوانی کند. ۳۶.۷٪ از سرورهای نمونه‌برداری‌شده به SSRF (Server-Side Request Forgery) باز هستند. این یعنی مهاجمی که ورودی ابزار را کنترل می‌کند می‌تواند به منابع شبکه داخلی دسترسی پیدا کند.

در همان دوره، بیش از ۳۰ CVE در ۶۰ روز ثبت شد. این نرخ هم نشان می‌دهد اکوسیستم چقدر جدید است و هم چقدر تمرکز محقق روی آن است.

چرا پروتکل خطر اطلاعات شخصی ایجاد می‌کند

MCP به دستیاران هوش مصنوعی قدرت عمل روی داده‌ها می‌دهد. این هم دلیل خطر اطلاعات شخصی است.

وقتی یک توسعه‌دهنده از Cursor یا Claude Desktop با یک کانکتور پایگاه داده استفاده می‌کند، هوش مصنوعی SQL را از متن ساده می‌نویسد. آن کوئری‌ها ردیف‌های واقعی برمی‌گردانند — نام‌ها، ایمیل‌ها، داده‌های پرداخت، یا سایر اطلاعات شخصی. آن داده‌ها از یک زنجیره عبور می‌کنند:

  1. سرور پایگاه داده → window context دستیار هوش مصنوعی
  2. window context → سیستم‌های لاگ ارائه‌دهنده مدل
  3. تاریخچه مکالمه → دستگاه محلی توسعه‌دهنده
  4. جلسات دیباگ → سایر ابزارهای هوش مصنوعی وقتی توسعه‌دهنده context می‌چسباند

هیچ‌کدام از این مراحل نقض نیست. این‌گونه سیستم کار می‌کند. اما اطلاعات شخصی در چندین جای ساخته‌نشده برای نگهداری آن قرار می‌گیرد، اغلب بدون رمزنگاری بین سرور و کلاینت هوش مصنوعی.

CVE-2026-25253 (CVSS 8.8)، منتشرشده در فوریه ۲۰۲۶، یک مسیر حمله را نشان داد. یک endpoint مخرب می‌توانست دستورالعمل‌های پنهان را در پاسخ‌هایش تزریق کند. آن دستورالعمل‌ها به هوش مصنوعی متصل می‌گفتند که داده‌ها را از سایر ابزارهای فعال بکشد. یک توسعه‌دهنده که از یک endpoint بد جامعه در کنار کانکتور پایگاه داده خودش استفاده می‌کرد می‌توانست کل پایگاه داده را نشت دهد.

۴۹۲ سرور بدون احراز هویت

۴۹۲ سرور باز یک مشکل متفاوت از CVE-2026-25253 است. آن‌ها هک نشدند. اشتباه تنظیم شدند.

بیشتر برای اجرای محلی در نظر گرفته شده بودند. کسی آن‌ها را از طریق port forwarding یا یک deploy ابری بدون کنترل دسترسی افشا کرد.

چه چیزهایی این سرورها اغلب افشا می‌کنند:

  • ابزارهای سیستم فایل با دسترسی خواندن به پوشه‌های home
  • کانکتورهای پایگاه داده با اعتبارنامه‌های زنده در config
  • ابزارهای ایمیل متصل به inbox‌های واقعی
  • ابزارهای اجرای کد — کد دلخواه، بدون احراز هویت، بدون محدودیت

توسعه‌دهندگان تقریباً مطمئناً قصد افشا نداشتند. اما Cursor و Claude Desktop به هر URL در config متصل می‌شوند. هیچ بررسی داخلی برای اینکه host محلی یا عمومی است وجود ندارد.

راه‌حل MCP anonym.legal

رفع ساختاری خطر اطلاعات شخصی در pipeline‌های ابزار این است که داده‌ها را قبل از رسیدن به هر فراخوانی که آن‌ها را به یک LLM ارسال می‌کند ناشناس کنید. این همان چیزی است که سرور MCP anonym.legal فراهم می‌کند.

۷ ابزار را نمایان می‌کند:

ابزارهدف
`analyze_text`شناسایی موجودیت‌های اطلاعات شخصی و بازگرداندن موقعیت‌ها و نوع‌های آن‌ها
`anonymize_text`حذف یا مستعارسازی اطلاعات شخصی شناسایی‌شده
`deanonymize_text`برگرداندن مستعارسازی با استفاده از کلید رمزنگاری شما
`anonymize_batch`پردازش چندین متن در یک فراخوانی
`get_supported_entities`فهرست همه بیش از ۲۸۵ نوع موجودیت برای یک زبان مشخص
`get_supported_languages`فهرست همه ۴۸ زبان پشتیبانی‌شده
`health_check`تأیید اتصال

وقتی یک دستیار هوش مصنوعی هم سرور anonym.legal و هم یک کانکتور پایگاه داده پیکربندی شده دارد، توسعه‌دهنده می‌تواند دستور دهد: «قبل از نمایش هر داده مشتری، `anonymize_text` را روی نتیجه فراخوانی کن.» هوش مصنوعی هماهنگ‌سازی را مدیریت می‌کند. اطلاعات شخصی هرگز به خروجی قابل مشاهده یا تاریخچه مکالمه به شکل قابل شناسایی نمی‌رسد.

تنظیم Cursor IDE

برای اضافه کردن سرور anonym.legal به Cursor:

```json // .cursor/mcp.json { "mcpServers": { "anonym-legal": { "url": "https://anonym.legal/mcp", "transport": "sse", "headers": { "Authorization": "Bearer YOUR_API_KEY" } } } } ```

بعد از پیکربندی، از Cursor بخواهید: «این تیکت پشتیبانی را قبل از چسباندن در tracker برای اطلاعات شخصی تحلیل کن.» Cursor `analyze_text` را فراخوانی می‌کند، فهرست موجودیت‌ها را برمی‌گرداند، و شما تصمیم می‌گیرید که آیا قبل از چسباندن ناشناس‌سازی کنید.

تنظیم Claude Desktop

```json // claude_desktop_config.json { "mcpServers": { "anonym-legal": { "command": "npx", "args": ["-y", "@anonym-legal/mcp-server"], "env": { "ANONYM_API_KEY": "YOUR_API_KEY" } } } } ```

با این پیکربندی، Claude Desktop می‌تواند قبل از شامل کردن در فراخوانی‌های ابزار ارسال‌شده به سایر سرورها هر متنی را ناشناس کند. ناشناس‌سازی در جلسه شما اجرا می‌شود. اطلاعات شخصی هرگز به سرورهای Anthropic به شکل قابل شناسایی نمی‌رسد.

سخت‌سازی تنظیمات شما

علاوه بر استفاده از anonym.legal، این مراحل را اعمال کنید. همچنین مرور امنیتی و مرکز انطباق ما را ببینید.

فهرست ابزار خود را حسابرسی کنید. هر ورودی در config خود را بررسی کنید. برای هر کدام بپرسید: آیا به اپراتور اعتماد دارید؟ می‌دانید به چه داده‌ای می‌تواند دسترسی داشته باشد؟

محلی را به راه‌دور ترجیح دهید. سرورهای محلی از طریق stdio اجرا می‌شوند. هیچ افشای شبکه ایجاد نمی‌کنند. از سرورهای راه‌دور فقط وقتی هیچ گزینه محلی وجود ندارد استفاده کنید.

احراز هویت را بررسی کنید. هر سرور راه‌دور باید یک کلید API یا توکن OAuth نیاز داشته باشد. اگر نداشت، با داده‌های واقعی کاربر از آن استفاده نکنید.

توسعه را از تولید جدا کنید. config‌های جداگانه برای کار توسعه (داده آزمایشی، بدون اطلاعات شخصی) و هر جریانی که به کاربران واقعی دسترسی دارد نگه دارید.

لاگ‌گذاری حسابرسی را فعال کنید. اگر لاگ‌ها پشتیبانی می‌کند، آن‌ها را روشن کنید. بدانید چه داده‌ای از هر فراخوانی عبور کرد.

برای فهرست کامل نوع موجودیت‌ها و زبان‌ها، صفحه ویژگی‌های MCP ما را ببینید.

بیش از ۳۰ CVE در ۶۰ روز نشان می‌دهد پروتکل زیر بررسی فعال است. باگ‌های جدید ظاهر خواهند شد. اما دفاع اصلی — ناشناس‌سازی قبل از رسیدن داده به هر فراخوانی LLM — در برابر هر CVE خاصی که بعداً می‌آید کار می‌کند.

پیکربندی سرور anonym.legal در Cursor →

anonym.legal ناشناس‌سازی اطلاعات شخصی را سرورسایدی با استفاده از کلید رمزنگاری شما پردازش می‌کند. داده‌های مستعارشده فقط با آن کلید قابل برگشت هستند. منتشرشده توسط anonym.legal، دارای گواهینامه ISO 27001.

منابع

  • داده‌های افشای سرور MCP Shodan، مارس ۲۰۲۶ — بیش از ۸,۰۰۰ سرور، ۴۹۲ بدون احراز هویت
  • CVE-2026-25253، CVSS 8.8، تزریق بین‌سروری از طریق Model Context Protocol
  • داده‌های SSRF: اسکن تحقیقاتی امنیتی نقاط دسترسی عمومی، مارس ۲۰۲۶
  • مشخصات MCP Anthropic نسخه 1.2، بخش ملاحظات امنیتی

مقالات مرتبط

امنیت هوش مصنوعی

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

امنیت هوش مصنوعی

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

امنیت هوش مصنوعی

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.