MCP-ekosysteemi kasvoi nopeasti — tietoturva ei
Model Context Protocol julkaistiin vuoden 2024 lopulla. Alle 18 kuukaudessa siitä tuli vakiotapa yhdistää tekoälytyökalut ulkoisiin järjestelmiin. Maaliskuuhun 2026 mennessä ekosysteemi kattaa tietokantakytkimet, tiedostopalvelimet, GitHub-sillat, Slack-asiakkaat, sähköpostityökalut ja satoja toimialakohtaisia palvelimia.
Kasvukäyrä on jyrkkä. Tietoturvatilanne ei ole.
Maaliskuuhun 2026 mennessä yli 8 000 MCP-palvelinta on julkisessa internetissä. Tutkijat löysivät 492 täysin ilman todennusta — ei API-avainta, ei OAuthia, ei IP-suodatinta. Mikä tahansa HTTP-asiakas voi kutsua niitä. 36,7 % otetuista palvelimista on avoin SSRF:lle (Server-Side Request Forgery). Tämä tarkoittaa, että hyökkääjä, joka hallitsee työkalusyötettä, voi tavoittaa sisäisiä verkkorakenteita.
Samana ajanjaksona yli 30 CVE:tä kirjattiin 60 päivässä. Tämä tahti osoittaa sekä ekosysteemin uutuuden että tutkijoiden aktiivisen huomion.
Miksi protokolla luo PII-riskin
MCP antaa tekoälyassistenteille vallan toimia tiedoilla. Se on myös syy, miksi se on PII-riski.
Kun kehittäjä käyttää Cursoria tai Claude Desktopia tietokantakytkimen kanssa, tekoäly kirjoittaa SQL:ää tavallisesta tekstistä. Nämä kyselyt palauttavat todellisia rivejä — nimiä, sähköpostiosoitteita, maksutietoja tai muuta PII:tä. Nämä tiedot liikkuvat ketjussa:
- Tietokantapalvelin → tekoälyassistentin kontekstiikkuna
- Kontekstiikkuna → mallipalveluntarjoajan lokijärjestelmät
- Keskusteluhistoria → kehittäjän paikallinen kone
- Virheenkorjausistunnot → muut tekoälytyökalut, kun kehittäjä liittää kontekstin
Mikään näistä vaiheista ei ole rikkomus. Ne ovat se, miten järjestelmä toimii. Mutta PII päätyy useisiin paikkoihin, joita ei ole rakennettu sen säilyttämiseen, usein ilman salausta palvelimen ja tekoälyasiakkaan välillä.
CVE-2026-25253 (CVSS 8,8), julkaistu helmikuussa 2026, osoitti yhden hyökkäyspolun. Haitallinen päätepiste saattoi injektoida piilotettuja ohjeita vasteisiinsa. Nämä ohjeet käskivät yhdistettyä tekoälyä noutamaan tietoja muista aktiivisista työkaluista. Kehittäjä, joka käyttää huonoa yhteisön päätepistettä oman tietokantakytkimensä vieressä, saattoi vuotaa koko tietokannan.
492 nollatodennuspalvelinta
492 avointa palvelinta on eri ongelma kuin CVE-2026-25253. Niitä ei hakkeroitu. Ne asennettiin väärin.
Suurin osa oli tarkoitettu toimia paikallisesti. Joku altisti ne portin edelleenlähetyksen tai pilvipalvelun kautta ilman pääsynhallintaa.
Näiden palvelinten yleisesti altistamat asiat:
- Tiedostojärjestelmätyökalut, joilla on lukuoikeus kotikansioihin
- Tietokantakytkimet, joilla on reaaliaikaiset tunnisteet konfiguraatiossa
- Sähköpostityökalut, jotka on sidottu oikeisiin postilaatikoihin
- Koodinsuoritustyökalut — mielivaltainen koodi, ei todennusta, ei rajoituksia
Kehittäjät tuskin tarkoittivat altistaa niitä. Mutta Cursor ja Claude Desktop yhdistyvät mihin tahansa konfiguraatiossa olevaan URL-osoitteeseen. Ei ole sisäänrakennettua tarkistusta sille, onko isäntä paikallinen vai julkinen.
anonym.legal MCP -ratkaisu
Rakenteellinen korjaus PII-riskille työkaluputkistoissa on anonymisoida tiedot ennen kuin ne saavuttavat minkään kutsun, joka lähettää ne LLM:lle. Tämän tarjoaa anonym.legal MCP -palvelin.
Se tarjoaa 7 työkalua:
| Työkalu | Tarkoitus |
|---|---|
analyze_text | Havaitsee PII-entiteetit ja palauttaa niiden sijainnit ja tyypit |
anonymize_text | Poistaa tai pseudonymisoi havaitun PII:n |
deanonymize_text | Peruuttaa pseudonymisoinnin salausavaimellasi |
anonymize_batch | Käsittelee useita tekstejä yhdessä kutsusta |
get_supported_entities | Listaa kaikki 285+ entiteettityyppiä annetulle kielelle |
get_supported_languages | Listaa kaikki 48 tuettua kieltä |
health_check | Tarkistaa yhteyden |
Kun tekoälyassistentilla on sekä anonym.legal-palvelin että tietokantakytkin konfiguroitu, kehittäjä voi ohjeistaa: "Ennen asiakastietojen näyttämistä, kutsu anonymize_text tulokselle." Tekoäly hoitaa orkestroinnin. PII ei koskaan päädy näkyvään tulosteeseen tai keskusteluhistoriaan tunnistettavassa muodossa.
Cursor IDE -asennus
Lisätäksesi anonym.legal-palvelimen Cursoriin:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Kun konfiguroitu, pyydä Cursoria: "Analysoi tämä tukipyyntö PII:n varalta ennen kuin liitän sen seurantajärjestelmään." Cursor kutsuu analyze_text-funktiota, palauttaa entiteettilistan, ja päätät, anonymisoidaanko ennen liittämistä.
Claude Desktop -asennus
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Tällä konfiguraatiolla Claude Desktop voi anonymisoida tekstin ennen sen sisällyttämistä muille palvelimille lähetettyihin työkalukutsuihin. Anonymisointi suoritetaan istunnossasi. PII ei koskaan tavoita Anthropicin palvelimia tunnistettavassa muodossa.
Asennuksesi vahvistaminen
Anonym.legalin käytön lisäksi sovella näitä toimenpiteitä. Katso myös tietoturvayleiskatsauksemme ja vaatimustenmukaisuuskeskuksemme.
Auditoi työkalulistasi. Tarkista jokainen merkintä konfiguraatiossasi. Kunkin kohdalla kysy: luotatko operaattoriin? Tiedätkö, mihin tietoihin sillä on pääsy?
Suosi paikallista etäisen sijaan. Paikalliset palvelimet toimivat stdio:n kautta. Ne eivät luo verkkoaltistusta. Käytä etäpalvelimia vain, kun paikallista vaihtoehtoa ei ole.
Tarkista todennus. Jokaisella etäpalvelimella on oltava API-avain tai OAuth-token. Jos ei ole, älä käytä sitä todellisten käyttäjätietojen kanssa.
Erota kehitys tuotannosta. Pidä erilliset konfiguraatiot kehitystyöhön (testitiedot, ei PII:tä) ja mihin tahansa virtaukseen, joka koskettaa todellisia käyttäjiä.
Ota tarkistuslokit käyttöön. Jos se tukee lokeja, kytke ne päälle. Tiedä, mitkä tiedot kulkivat kunkin kutsun läpi.
Katso MCP-ominaisuussivumme täydelliselle entiteettityyppien ja kielten listalle.
30+ CVE:tä 60 päivässä osoittaa protokollan olevan aktiivisen tarkastelun alla. Uusia vikoja ilmaantuu. Mutta ydinpuolustus — anonymisoi ennen kuin tiedot saavuttavat minkä tahansa LLM-kutsun — toimii seuraavaa erityistä CVE:tä vastaan.
Konfiguroi anonym.legal-palvelin Cursorissa →
anonym.legal käsittelee PII-anonymisoinnin palvelinpuolella salausavaimellasi. Pseudonymisoitu data on palautettavissa vain tuolla avaimella. Julkaistu anonym.legalin toimesta, ISO 27001 -sertifioitu.
Lähteet
- Shodan MCP -palvelimen altistustiedot, maaliskuu 2026 — yli 8 000 palvelinta, 492 nollatodennusta
- CVE-2026-25253, CVSS 8,8, ristinpalvelimen injektio Model Context Protocolin kautta
- SSRF-tiedot: julkisesti saavutettavien päätepisteiden tietoturvatutkimusskaannaus, maaliskuu 2026
- Anthropic MCP-spesifikaatio v1.2, tietoturvaharkintoja koskeva osio