MCP ekosistem je eksplodirao — sigurnost nije

Model Context Protocol, uvedeni od Anthropica u kasnom 2024., postao je de facto standard za spajanje AI asistenata na vanjske alate u manje od 18 mjeseci. Do ožujka 2026., MCP ekosistem uključuje konektore baze podataka, servere datotečnog sustava, GitHub integracije, Slack mostove, email klijente i stotine specifičnih domeni servera alata.

Kriva uspostave je strma. Sigurni stav nije.

Satvar ožujka 2026., 8.000+ MCP servera je javno dostupno na Internetu. Sigurnosni istraživači koji skeniraju za MCP krajnje točke otkrili su 492 servera bez autentifikacije — bez API ključa, bez OAuth, bez IP ograničenja. Svaki HTTP klijent može pozivati njihove alate. 36,7% uzorkanih MCP servera je ranljivo na SSRF (Server-Side Request Forgery), što znači da napadač koji kontrolira unos alata može pivotirati s MCP servera na unutarnje mrežne resurse.

U istom periodu, 30+ CVE su bili podneseni protiv MCP implementacija u 60 dana — stopa koja odražava kako neejedno ekosistema i intenziteta istraživačke pozornosti koju je privuklo.

Zašto MCP stvara PII rizik

MCP je dizajniran da da AI asistenate mogućnost poduzimanja radnji i pristupa podacima. To je također upravo ono što ga čini PII rizikom.

Kada programer koristi Cursor ili Claude Desktop s MCP konektor baze podataka, AI asistent generiše SQL upite na temelju zahtjeva korisnika u prirodnom jeziku. Ti upiti vraćaju prave podatke — što mogu uključiti imena korisnika, email adrese, informacije o plaćanju ili ostale PII. Ti podaci teku:

S MCP servera baze podataka → kontekstnom prozoru AI asistenta
S kontekstnog prozora → potencijalno na infrastrukturu logiranja pružatelja modela
S istorije razgovora → na lokalni stroj programera
S sesija debugiranja → na ostale AI asistente kada programer zalijepljuje kontekst

Nitko od tih koraka nužno ne uključuje narušavanje. To su namjerna ponašanja MCP. Ali rezultat je da PII putuje kroz nekoliko sustava koji nisu bili dizajnirani za rukovanje, bez enkripcije pri prijenosu između MCP servera i AI klijenta u mnogim implementacijama.

CVE-2026-25253 (CVSS 8.8), otkriven u veljači 2026., demonstrirao je specifičan napad: zlonamjernik konfiguriran MCP server mogao biti inject upute u odgovore poziva alata koji su uzrokovali da se povezani AI asistent eksfiltrira podataka s drugih konfiguriranih MCP servera. Programer koji se spaja na kompromitovani zajednica MCP server tijekom vremena dok ima i svoj MCP server baze podataka aktivnog mogao bi izložiti cijelu bazu podataka napadaču.

492 Zero-Auth servera

492 MCP servera bez autentifikacije predstavljaju različit rizik od CVE-2026-25253. Ovo nisu kompromitovani legitimni serveri — oni su jednostavno krivo konfigurirani. Mnogi se čine biti programerski alati koji su bili namijenjeni biti samo lokalni, ali su izloženi preko port forwarding-a ili cloud implementacije bez kontrole pristupa.

Ono što ti serveri obično izlažu:

Alate datotečnog sustava s pristupom čitanja privatnim direktorijima
Konektore baze podataka s produkcijskim kredencijima ugrađenim u konfiguraciju
Email MCP servere s pristupom korporativnim inboxima
Okruženja izvršavanja koda (najopasnije — proizvoljna izvršavanje koda bez auth)

Programeri koji su gradili te servere skoro sigurno nisu trebali da ih javno izlože. Ali Cursor i Claude Desktop ne razlikuju između localhost MCP servera i javno izloženog — spajaju se na bilo koji URL korisnika pruža u svojoj konfiguraciji.

anonym.legal MCP rješenje

Strukturna ispravka za PII rizik u MCP cijevima je anonimizacija podataka prije nego što dosegne bilo koji poziv alata koji ga pošalje LLM-u. Ovo je što anonym.legal MCP server pruža.

Server izlaže 7 alata:

Alat	Svrha
`analyze_text`	Detektovati PII entitete i vratiti njihove pozicije i tipove
`anonymize_text`	Uklanjati ili pseudonimizirati detektovane PII
`deanonymize_text`	Obrnuti pseudonimizaciju pomoću vašeg ključa enkriptovanja
`anonymize_batch`	Obrada više tekstova u jedan poziv
`get_supported_entities`	Popis svih 285+ vrsta entiteta za dati jezik
`get_supported_languages`	Popis svih 48 podržanih jezika
`health_check`	Provjerite povezanost

Kada AI asistent ima oba anonym.legal MCP servera i MCP servera baze podataka konfigurirane, programer može instruirati: "Prije prikazivanja bilo kojih podataka korisnika iz baze podataka, pozovite anonymize_text na rezultat." AI asistent rukuje orkestraciju — i PII nikad ne doseže vidljivi izlaz modela ili historiju razgovora u identifikabilnom obliku.

Cursor IDE integracija

Za dodati anonym.legal MCP server Cursor-u:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

Nakon konfiguracije, možete pitati Cursor: "Analiza ovog ticket podrške za PII prije nego što ga zalijepljam u issue tracker." Cursor poziva analyze_text, vraća listu entiteta i možete odlučiti trebam li anonimizirati prije zalijepljanja.

Claude Desktop integracija

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

S ovom konfiguracijom, Claude Desktop može anonimizirati bilo koji tekst koji dijelite prije nego što ga uključite u pozive alata koji se pošalju na ostale MCP servere. Anonimizacija se dogodi na klijentskoj strani u vašoj Claude Desktop sesiji — PII nikad ne doseže Anthropic-ove servere u identifikabilnom obliku.

Čvršćavanje vaše MCP postavke

Izvan korištenja anonym.legal MCP, primijenite te čvrste korake na vašu MCP konfiguraciju:

Revidirajte listu servera. Provjerite svaki MCP server u vašem Cursor/Claude Desktop config. Za svaki, provjerite da vjerujete operatoru i razumijete što podatke može pristupiti.

Preferirajte lokalne servere prema daljskim. Lokalni MCP serveri (povezani preko stdio umjesto HTTP-a) ne stvaraju mrežnu izloženost. Koristite daljske servere samo kada nema lokalnih alternativa.

Provjerite autentifikaciju. Svaki daljski MCP server kojem se spajate trebao bi zahtijevati API ključ ili OAuth token. Ako ne, nemojte ga koristiti s kontekstima koji sadrže PII.

Odvojite razvoj i produkciju. Koristite odvojene MCP server konfiguracije za razvojni rad (sintetički podaci, nema PII) i bilo koje tokove rada koji dodiruju produkcijske podatke.

Nadzor log poziva alata. Ako vaš MCP server podržava audit logiranje, omogućite ga. Znajte koji su podaci tekli kroz koji poziv alata.

30+ CVE-ovi u 60 dana signaliziraju da je MCP sigurnost aktivno istražujući. Nove ranljivosti će biti otkrivene. Strukturalna obrana — anonimizacija prije bilo kojeg podataka dosegne poziv alata koji dodiruje LLM — ostaje učinkovita bez obzira koji će se specifičan CVE sljedeće otkriti.

Konfiguracija anonym.legal MCP u Cursor →

Izvori:

Shodan MCP server podaci o izloženosti, ožujak 2026 — 8.000+ servera, 492 zero-auth
CVE-2026-25253, CVSS 8.8, MCP cross-server injection ranljivost
SSRF podaci o ranljivosti: sigurnosno istraživanje skeniranja javno dostupnih MCP krajnjih točaka, ožujak 2026
Anthropic MCP specifikacija v1.2, sigurnosne razmatranja dio

Povezani Članci

Sigurnost AI-a

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno Suđenje Pogledajte Značajke

MCP Server sigurnost 2026.: 8.000 izloženih...