Az MCP-ökoszisztéma gyorsan nőtt — a biztonság nem
A Model Context Protocol 2024 végén indult. 18 hónap alatt az AI-eszközök külső rendszerekhez való csatlakoztatásának szabványává vált. 2026 márciusáig az ökoszisztéma adatbázis-csatlakozókat, fájlszervereket, GitHub-hidakat, Slack-klienseket, e-mail-eszközöket és több száz domain-specifikus szervert fed le.
A növekedési görbe meredek. A biztonsági kép nem az.
2026 márciusától 8000+ MCP-szerver él a nyilvános interneten. Kutatók 492-t találtak teljes hitelesítés nélkül — sem API-kulcs, sem OAuth, sem IP-szűrő. Bármely HTTP-kliens hívhatja őket. A vizsgált szerverek 36,7%-a SSRF-re (kiszolgálóoldali kéréshamisítás) sebezhető. Ez azt jelenti, hogy egy olyan támadó, aki az eszközök bemenetét irányítani tudja, belső hálózati erőforrásokhoz férhet hozzá.
Ugyanebben az időszakban 30+ CVE-t nyújtottak be 60 nap alatt. Ez az arány egyszerre mutatja az ökoszisztéma újszerűségét és a kutatói érdeklődés intenzitását.
Miért teremt a protokoll személyes adatkockázatot?
Az MCP azt a képességet adja az AI-asszisztenseknek, hogy adatokon cselekedjenek. Ez egyben az adatvédelmi kockázat forrása is.
Amikor egy fejlesztő adatbázis-csatlakozóval rendelkező Cursort vagy Claude Desktopot használ, az AI egyszerű szövegből SQL-t ír. Ezek a lekérdezések valódi sorokat adnak vissza — neveket, e-mail-címeket, fizetési adatokat vagy más személyes adatokat. Ezek az adatok egy láncon keresztül mozognak:
- Adatbáziszerver → AI-asszisztens kontextusablaka
- Kontextusablak → modelszolgáltató naplórendszerei
- Társalgástörténet → fejlesztő helyi gépére
- Hibakereső munkamenetek → más AI-eszközökhöz, amikor a fejlesztő kontextust másol be
Ezek egyike sem adatvédelmi incidens. Így működik a rendszer. De a személyes adatok több helyre kerülnek, amelyek nem erre lettek tervezve, gyakran titkosítás nélkül a szerver és az AI-kliens között.
A CVE-2026-25253 (CVSS 8,8), 2026 februárjában közzétéve, egy támadási útvonalat mutatott be. Egy rosszindulatú végpont rejtett utasításokat injektálhatott a válaszaiba. Ezek az utasítások arra szólították fel a csatlakoztatott AI-t, hogy más aktív eszközökből is gyűjtsön adatokat. Egy fejlesztő, aki rossz közösségi végpontot használt a saját adatbázis-csatlakozója mellett, így az egész adatbázist kiszivárogtathatta.
A 492 hitelesítés nélküli szerver
A 492 nyitott szerver a CVE-2026-25253-tól eltérő probléma. Ezeket nem törték fel. Rosszul konfigurálták őket.
Legtöbbjüket helyi futtatásra szánták. Valaki portforwardinggal vagy access-vezérlők nélküli felhőtelepítéssel tette nyilvánossá őket.
Amit ezek a szerverek általában kitesznek:
- Fájlrendszer-eszközök olvasási hozzáféréssel az otthoni mappákhoz
- Adatbázis-csatlakozók élő hitelesítő adatokkal a konfigurációban
- E-mail-eszközök valódi postafiókokhoz kötve
- Kódvégrehajtási eszközök — tetszőleges kód, hitelesítés nélkül, korlátok nélkül
A fejlesztők szinte biztosan nem szándékoztak ezeket nyilvánossá tenni. De a Cursor és a Claude Desktop csatlakozik a konfigurációban megadott bármely URL-hez. Nincs beépített ellenőrzés arra, hogy egy gazdagép helyi vagy nyilvános-e.
Az anonym.legal MCP-megoldás
A PII-kockázat szerkezeti megoldása az eszközfolyamatokban az, hogy az adatokat anonimizálni kell, mielőtt azok bármelyik hívásba kerülnek, amely az LLM-hez küldi őket. Ezt biztosítja az anonym.legal MCP-szerver.
7 eszközt tesz elérhetővé:
| Eszköz | Cél |
|---|---|
analyze_text | PII-entitások felismerése és pozícióik, típusaik visszaadása |
anonymize_text | Azonosított PII eltávolítása vagy álnevesítése |
deanonymize_text | Az álnevesítés visszafordítása a titkosítási kulccsal |
anonymize_batch | Több szöveg feldolgozása egy hívással |
get_supported_entities | Az összes 285+ entitástípus felsorolása egy adott nyelvhez |
get_supported_languages | Az összes 48 támogatott nyelv felsorolása |
health_check | Kapcsolat ellenőrzése |
Amikor egy AI-asszisztensnek mind az anonym.legal szerver, mind egy adatbázis-csatlakozó konfigurálva van, a fejlesztő utasíthatja: „Mielőtt bármilyen ügyféladatot megmutatnál, hívd az anonymize_text-et az eredményen.” Az AI kezeli az orchestrációt. A személyes adatok soha nem kerülnek látható kimenetbe vagy társalgástörténetbe azonosítható formában.
Cursor IDE beállítás
Az anonym.legal szerver Cursorhoz való hozzáadásához:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer AZ_ÖN_API_KULCSA"
}
}
}
}
Konfigurálás után kérdezze meg a Cursort: „Elemezd ezt az ügyfélszolgálati jegyet személyes adatok szempontjából, mielőtt beilleszteném a nyilvántartóba.” A Cursor hívja az analyze_text-et, visszaadja az entitáslistát, és Ön dönt, hogy anonimizál-e beillesztés előtt.
Claude Desktop beállítás
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "AZ_ÖN_API_KULCSA"
}
}
}
}
Ezzel a konfigurációval a Claude Desktop anonimizálhatja a szöveget, mielőtt más szervereknek küldött eszközhívásokba foglalná. Az anonimizálás a munkamenetben fut. A személyes adatok nem kerülnek az Anthropic szervereire azonosítható formában.
A beállítás megerősítése
Az anonym.legal használatán túl alkalmazza ezeket a lépéseket is. Lásd még a biztonsági áttekintőnket és a megfelelőségi központot.
Auditálja az eszközlistát. Ellenőrizze a konfiguráció minden bejegyzését. Minden egyes esetben kérdezze: megbízik-e az üzemeltetőben? Tudja, milyen adatokhoz férhet hozzá?
Részesítse előnyben a helyi szervereket a távoliak előtt. A helyi szerverek stdio-n keresztül futnak. Nem hoznak létre hálózati kitettséget. Csak akkor használjon távoli szervereket, ha nincs helyi alternatíva.
Ellenőrizze a hitelesítést. Minden távoli szervernek API-kulcsot vagy OAuth-tokent kell megkövetelnie. Ha nem, ne használja valódi felhasználói adatokkal.
Különítse el a fejlesztői és az éles környezetet. Tartson fenn külön konfigurációkat a fejlesztői munkához (tesztadatok, nincs személyes adat) és az éles felhasználókat érintő folyamatokhoz.
Engedélyezze az auditnapló-készítést. Ha a szerver támogatja a naplózást, kapcsolja be. Tudja, milyen adatok kerültek át az egyes hívásokon.
Az entitástípusok és nyelvek teljes listájáért tekintse meg az MCP-funkciók oldalát.
A 60 nap alatt benyújtott 30+ CVE azt mutatja, hogy a protokollt aktívan vizsgálják. Új hibák bukkannak fel. De az alapvető védelem — anonimizálás, mielőtt az adatok bármely LLM-híváshoz jutnak — minden következő CVE ellen is véd.
Az anonym.legal szerver konfigurálása Cursorban →
Az anonym.legal a PII-anonimizálást szerveroldalon, az Ön titkosítási kulcsával dolgozza fel. Az álnevesített adatok csak azzal a kulccsal fordíthatók vissza. Az anonym.legal kiadja, ISO 27001 tanúsítvánnyal rendelkezik.
Források
- Shodan MCP-szerver kitettségi adatok, 2026. március — 8000+ szerver, 492 hitelesítés nélkül
- CVE-2026-25253, CVSS 8,8, kereszt-szerver injekció a Model Context Protocolen keresztül
- SSRF-adatok: nyilvánosan elérhető végpontok biztonsági kutatói vizsgálata, 2026. március
- Anthropic MCP-specifikáció v1.2, biztonsági megfontolások fejezet