אקוסיסטם MCP גדל מהר — האבטחה לא
Model Context Protocol הושק בסוף 2024. תוך פחות מ-18 חודש הוא הפך לדרך הסטנדרטית לחיבור כלי AI למערכות חיצוניות. נכון למרץ 2026, האקוסיסטם מכסה מחברי בסיסי נתונים, שרתי קבצים, גשרי GitHub, לקוחות Slack, כלי דואר אלקטרוני ומאות שרתים ספציפיים לתחום.
עקומת הצמיחה תלולה. התמונה האבטחתית — לא.
נכון למרץ 2026, יותר מ-8,000 שרתי MCP יושבים ברשת האינטרנט הציבורית. חוקרים מצאו 492 ללא אימות כלל — ללא מפתח API, ללא OAuth, ללא פילטר IP. כל לקוח HTTP יכול לקרוא להם. 36.7% מהשרתים שנדגמו פתוחים ל-SSRF (Server-Side Request Forgery). זה אומר שתוקף ששולט בקלט הכלי יכול להגיע למשאבי רשת פנימיים.
באותה תקופה, יותר מ-30 CVEs הוגשו ב-60 יום. הקצב הזה מראה הן כמה חדש האקוסיסטם והן כמה תשומת לב חוקרים הוא מקבל.
מדוע הפרוטוקול יוצר סיכון PII
MCP מעניק לעוזרי AI את הכוח לפעול על נתונים. זו גם הסיבה שהוא מהווה סיכון PII.
כאשר מפתח משתמש ב-Cursor או ב-Claude Desktop עם מחבר בסיס נתונים, ה-AI כותב SQL מטקסט פשוט. השאילתות האלה מחזירות שורות אמיתיות — שמות, כתובות דואר אלקטרוני, נתוני תשלום, או PII אחר. הנתונים עוברים דרך שרשרת:
- שרת בסיס נתונים → חלון הקשר של עוזר ה-AI
- חלון הקשר → מערכות רישום ביומן של ספק המודל
- היסטוריית שיחות → המחשב המקומי של המפתח
- sessions debug → כלי AI אחרים כאשר המפתח מדביק הקשר
אף אחד מהצעדים האלה אינו פרצה. כך המערכת עובדת. אבל PII מגיע למקומות רבים שלא נבנו להחזיקו, לעיתים קרובות ללא הצפנה בין השרת ללקוח AI.
CVE-2026-25253 (CVSS 8.8), שפורסם בפברואר 2026, הראה נתיב תקיפה אחד. נקודת קצה זדונית יכולה להזריק הוראות נסתרות לתגובותיה. ההוראות האלה אמרו ל-AI המחובר למשוך נתונים מכלים פעילים אחרים. מפתח שמשתמש בנקודת קצה גרועה של קהילה לצד מחבר בסיס הנתונים שלו עלול לדלוף את כל בסיס הנתונים.
492 שרתים ללא אימות
492 השרתים הפתוחים הם בעיה שונה מ-CVE-2026-25253. הם לא נפרצו. הם הוגדרו לא נכון.
רוב נועדו לרוץ מקומית. מישהו חשף אותם דרך העברת פורטים או פריסה בענן ללא בקרות גישה.
מה ששרתים אלה לעיתים קרובות חושפים:
- כלי מערכת קבצים עם גישת קריאה לתיקיות בית
- מחברי בסיס נתונים עם אישורים חיים ב-config
- כלי דואר אלקטרוני מחוברים לתיבות דואר אמיתיות
- כלי הרצת קוד — קוד שרירותי, ללא אימות, ללא הגבלות
המפתחים כמעט בוודאות לא התכוונו לחשוף אותם. אבל Cursor ו-Claude Desktop מתחברים לכל URL ב-config. אין בדיקה מובנית לשאלה אם מארח הוא מקומי או ציבורי.
פתרון ה-MCP של anonym.legal
התיקון המבני לסיכון PII ב-pipelines כלים הוא לבצע אנונימיזציה לנתונים לפני שהם מגיעים לכל קריאה שמשלחת אותם ל-LLM. זה מה ששרת MCP של anonym.legal מספק.
הוא חושף 7 כלים:
| כלי | מטרה |
|---|---|
analyze_text | זיהוי ישויות PII והחזרת מיקומן וסוגן |
anonymize_text | הסרה או pseudonymization של PII שזוהה |
deanonymize_text | היפוך pseudonymization באמצעות מפתח ההצפנה שלך |
anonymize_batch | עיבוד טקסטים מרובים בקריאה אחת |
get_supported_entities | רשימת כל יותר מ-285 סוגי ישויות עבור שפה נתונה |
get_supported_languages | רשימת כל 48 השפות הנתמכות |
health_check | אימות קישוריות |
כאשר לעוזר AI יש גם את שרת anonym.legal וגם מחבר בסיס נתונים מוגדר, המפתח יכול להורות: "לפני הצגת נתוני לקוחות כלשהם, קרא ל-anonymize_text על התוצאה." ה-AI מטפל בתיאום. PII לעולם לא מגיע לפלט הנראה לעין או להיסטוריית השיחה בצורה מזוהה.
הגדרת Cursor IDE
כדי להוסיף את שרת anonym.legal ל-Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
לאחר ההגדרה, בקש מ-Cursor: "נתח כרטיס תמיכה זה לאיתור PII לפני שאני מדביק אותו ב-tracker." Cursor קורא ל-analyze_text, מחזיר את רשימת הישויות, ואתה מחליט אם לבצע אנונימיזציה לפני ההדבקה.
הגדרת Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
עם הגדרה זו, Claude Desktop יכול לבצע אנונימיזציה לכל טקסט לפני הכללתו בקריאות כלים שנשלחות לשרתים אחרים. האנונימיזציה רצה ב-session שלך. PII לעולם לא מגיע לשרתים של Anthropic בצורה מזוהה.
הקשחת ההגדרה שלך
מעבר לשימוש ב-anonym.legal, החל צעדים אלה. ראה גם את סקירת האבטחה ומרכז הציות שלנו.
בדוק את רשימת הכלים שלך. בדוק כל ערך ב-config שלך. לכל אחד, שאל: האם אתה סומך על המפעיל? האם אתה יודע לאילו נתונים הוא יכול להגיע?
העדף מקומי על פני מרוחק. שרתים מקומיים רצים דרך stdio. הם לא יוצרים חשיפת רשת. השתמש בשרתים מרוחקים רק כאשר לא קיימת אפשרות מקומית.
בדוק אימות. כל שרת מרוחק צריך לדרוש מפתח API או טוקן OAuth. אם הוא לא דורש, אל תשתמש בו עם נתוני משתמשים אמיתיים.
הפרד dev מפרודקשן. שמור configs נפרדים לעבודת dev (נתוני בדיקה, ללא PII) ולכל זרימה שנוגעת במשתמשים אמיתיים.
אפשר רישום ביקורת. אם הוא תומך בלוגים, הפעל אותם. דע אילו נתונים עברו דרך כל קריאה.
ראה את דף תכונות MCP שלנו לרשימה מלאה של סוגי ישויות ושפות.
יותר מ-30 CVEs ב-60 יום מראים שהפרוטוקול נמצא תחת בחינה פעילה. יופיעו באגים חדשים. אבל ההגנה המרכזית — בצע אנונימיזציה לפני שנתונים מגיעים לכל קריאת LLM — עובדת נגד כל CVE ספציפי שיגיע בהמשך.
הגדר את שרת anonym.legal ב-Cursor →
anonym.legal מעבד אנונימיזציה של PII בצד השרת באמצעות מפתח ההצפנה שלך. נתונים ב-pseudonymization ניתנים להיפוך רק עם אותו מפתח. פורסם על ידי anonym.legal, בעל תעודת ISO 27001.
מקורות
- נתוני חשיפת שרת MCP של Shodan, מרץ 2026 — יותר מ-8,000 שרתים, 492 ללא אימות
- CVE-2026-25253, CVSS 8.8, הזרקה חוצת שרתים דרך Model Context Protocol
- נתוני SSRF: סריקת מחקר אבטחה של נקודות קצה נגישות לציבור, מרץ 2026
- מפרט MCP של Anthropic v1.2, סעיף שיקולי אבטחה