MCP Ecosystem तेज़ी से बढ़ा — Security नहीं
Model Context Protocol 2024 के अंत में launch हुआ। 18 महीनों से कम में यह AI tools को बाहरी systems से जोड़ने का standard तरीका बन गया। मार्च 2026 तक, ecosystem में database connectors, file servers, GitHub bridges, Slack clients, email tools, और सैकड़ों domain-specific servers शामिल हैं।
Growth curve खड़ी है। Security तस्वीर नहीं।
मार्च 2026 तक, 8,000+ MCP servers public internet पर बैठे हैं। Researchers ने 492 बिना zero authentication पाए — कोई API key नहीं, कोई OAuth नहीं, कोई IP filter नहीं। कोई भी HTTP client उन्हें call कर सकता है। Sampled servers के 36.7% SSRF (Server-Side Request Forgery) के लिए open हैं। इसका मतलब एक attacker जो tool input नियंत्रित करता है, internal network resources तक पहुँच सकता है।
उसी period में, 60 दिनों में 30+ CVEs filed हुईं। यह rate दिखाता है कि ecosystem कितना नया है और उसे कितना researcher focus मिलता है।
Protocol PII Risk क्यों पैदा करता है
MCP AI assistants को data पर act करने की शक्ति देता है। यही इसे PII risk भी बनाता है।
जब एक developer database connector के साथ Cursor या Claude Desktop का उपयोग करता है, तो AI plain text से SQL लिखता है। वे queries real rows return करती हैं — names, emails, payment data, या अन्य PII। वह data एक chain से गुज़रता है:
- Database server → AI assistant की context window
- Context window → model provider के log systems
- Conversation history → developer की local machine
- Debug sessions → अन्य AI tools जब developer context paste करता है
इनमें से कोई भी step breach नहीं है। यही system काम करने का तरीका है। लेकिन PII कई ऐसी जगहों पर end up होती है जो इसे hold करने के लिए नहीं बनी, अक्सर server और AI client के बीच बिना encryption के।
CVE-2026-25253 (CVSS 8.8), फरवरी 2026 में published, ने एक attack path दिखाई। एक malicious endpoint अपने responses में छुपे हुए निर्देश inject कर सकता था। वे निर्देशों ने connected AI को दूसरे active tools से data pull करने के लिए कहा। एक developer जो अपने database connector के बगल में एक bad community endpoint का उपयोग करता है, पूरा database leak कर सकता था।
492 Zero-Auth Servers
492 open servers CVE-2026-25253 से अलग समस्या है। उन्हें hack नहीं किया गया। उन्हें गलत तरीके से setup किया गया।
अधिकांश locally चलाने के लिए meant थे। किसी ने उन्हें port forwarding या बिना access controls के cloud deploy से expose किया।
ये servers अक्सर क्या expose करते हैं:
- Home folders तक read access के साथ file system tools
- Config में live credentials वाले database connectors
- Real inboxes से जुड़े email tools
- Code execution tools — arbitrary code, कोई auth नहीं, कोई limits नहीं
Developers ने लगभग निश्चित रूप से उन्हें expose करने का इरादा नहीं किया। लेकिन Cursor और Claude Desktop config में किसी भी URL से connect करते हैं। यह check करने के लिए कोई built-in check नहीं है कि host local है या public।
anonym.legal MCP Solution
Tool pipelines में PII risk का structural fix है data को LLM को भेजने वाले किसी भी call तक पहुँचने से पहले anonymize करना। यही anonym.legal MCP server प्रदान करता है।
यह 7 tools expose करता है:
| Tool | उद्देश्य |
|---|---|
analyze_text | PII entities detect करें और उनकी positions और types return करें |
anonymize_text | Detected PII strip या pseudonymize करें |
deanonymize_text | आपकी encryption key से pseudonymization उलटें |
anonymize_batch | एक call में multiple texts process करें |
get_supported_entities | दी गई language के लिए सभी 285+ entity types list करें |
get_supported_languages | सभी 48 supported languages list करें |
health_check | Connectivity verify करें |
जब एक AI assistant के पास anonym.legal server और database connector दोनों configured हों, तो developer निर्देश दे सकता है: "कोई भी customer data दिखाने से पहले, result पर anonymize_text call करें।" AI orchestration handle करता है। PII कभी visible output या conversation history में identifiable form में नहीं पहुँचती।
Cursor IDE Setup
Cursor में anonym.legal server जोड़ने के लिए:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Configure होने के बाद, Cursor से पूछें: "इसे tracker में paste करने से पहले इस support ticket में PII analyze करें।" Cursor analyze_text call करता है, entity list return करता है, और आप decide करते हैं कि paste करने से पहले anonymize करना है या नहीं।
Claude Desktop Setup
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
इस config के साथ, Claude Desktop किसी भी text को अन्य servers को भेजे गए tool calls में शामिल करने से पहले anonymize कर सकता है। Anonymization आपके session में चलती है। PII Anthropic के servers तक identifiable form में कभी नहीं पहुँचती।
अपना Setup Harden करें
Anonym.legal का उपयोग करने के अलावा, ये steps apply करें। हमारा security overview और compliance center भी देखें।
अपनी tool list audit करें। अपने config में हर entry जाँचें। हर एक के लिए पूछें: क्या आप operator पर trust करते हैं? क्या आप जानते हैं कि यह किस data तक पहुँच सकता है?
Remote के बजाय local prefer करें। Local servers stdio के माध्यम से चलते हैं। वे कोई network exposure नहीं बनाते। Remote servers का उपयोग केवल तब करें जब कोई local option न हो।
Authentication जाँचें। हर remote server को API key या OAuth token चाहिए। यदि नहीं है, तो इसे real user data के साथ use न करें।
Dev को production से अलग रखें। Dev work (test data, PII नहीं) और real users को touch करने वाले किसी भी flow के लिए अलग configs रखें।
Audit logging enable करें। यदि यह logs support करता है, तो उन्हें चालू करें। जानें कि हर call से कौन सा data गया।
Entity types और languages की full list के लिए हमारा MCP features page देखें।
60 दिनों में 30+ CVEs दिखाते हैं कि protocol active scrutiny में है। नए bugs आएँगे। लेकिन core defense — data को LLM call तक पहुँचने से पहले anonymize करें — किसी भी specific CVE के खिलाफ काम करता है।
Cursor में anonym.legal server configure करें →
anonym.legal आपकी encryption key का उपयोग करके server-side PII anonymization process करता है। Pseudonymized data केवल उस key से reversible है। anonym.legal द्वारा published, ISO 27001 certified।
स्रोत
- Shodan MCP server exposure data, मार्च 2026 — 8,000+ servers, 492 zero-auth
- CVE-2026-25253, CVSS 8.8, cross-server injection via Model Context Protocol
- SSRF data: publicly accessible endpoints का security research scan, मार्च 2026
- Anthropic MCP specification v1.2, security considerations section