Ekosistem MCP Tumbuh Cepat — Keamanannya Tidak
Model Context Protocol diluncurkan pada akhir 2024. Dalam kurang dari 18 bulan, ia menjadi cara standar untuk menghubungkan alat AI ke sistem eksternal. Per Maret 2026, ekosistemnya mencakup koneksi database, server file, klien GitHub, klien Slack, alat email, dan ratusan server spesifik domain.
Kurva pertumbuhannya tajam. Gambaran keamanannya tidak.
Per Maret 2026, ada 8.000+ server MCP di internet publik. Peneliti menemukan 492 tanpa autentikasi sama sekali — tidak ada kunci API, tidak ada OAuth, tidak ada filter IP. Klien HTTP mana pun dapat memanggilnya. 36,7% dari server yang diambil sampelnya terbuka untuk SSRF (Server-Side Request Forgery). Artinya penyerang yang mengendalikan input alat dapat menjangkau sumber daya jaringan internal.
Dalam periode yang sama, lebih dari 30 CVE diajukan dalam 60 hari. Tingkat itu menunjukkan betapa barunya ekosistem dan betapa banyak perhatian peneliti terhadapnya.
Mengapa Protokol Menciptakan Risiko PII
MCP memberi asisten AI kemampuan untuk bertindak pada data. Itulah juga alasan ia menjadi risiko PII.
Ketika developer menggunakan Cursor atau Claude Desktop dengan konektor database, AI menulis SQL dari teks biasa. Query ini mengembalikan baris nyata — nama, email, data pembayaran, atau PII lainnya. Data ini bergerak melalui rantai:
- Server database → jendela konteks asisten AI
- Jendela konteks → sistem log penyedia model
- Riwayat percakapan → mesin lokal developer
- Sesi debug → alat AI lain saat developer menempel konteks
Tidak ada yang merupakan pelanggaran. Begitulah sistem bekerja. Tetapi PII berakhir di banyak tempat yang tidak dirancang untuk menyimpannya, sering kali tanpa enkripsi antara server dan klien AI.
CVE-2026-25253 (CVSS 8,8), dipublikasikan Februari 2026, menunjukkan satu jalur serangan. Endpoint berbahaya dapat menyuntikkan instruksi tersembunyi ke dalam responsnya. Instruksi ini meminta AI yang terhubung untuk menarik data dari alat aktif lainnya. Developer yang menggunakan endpoint komunitas yang buruk di samping konektor databasenya sendiri dapat membocorkan seluruh database.
492 Server Tanpa Autentikasi
492 server terbuka adalah masalah berbeda dari CVE-2026-25253. Mereka tidak diretas. Mereka dikonfigurasi dengan salah.
Sebagian besar dirancang untuk berjalan secara lokal. Seseorang mengeksposnya melalui port forwarding atau deployment cloud tanpa kontrol akses.
Yang biasanya diekspos server-server ini:
- Alat sistem file dengan akses baca ke folder home
- Konektor database dengan kredensial live dalam konfigurasi
- Alat email yang terhubung ke inbox nyata
- Alat eksekusi kode — kode arbitrer, tidak ada autentikasi, tidak ada batas
Developer hampir pasti tidak bermaksud mengeksposnya. Tetapi Cursor dan Claude Desktop terhubung ke URL apa pun dalam konfigurasi. Tidak ada pemeriksaan bawaan apakah host bersifat lokal atau publik.
Solusi MCP anonym.legal
Solusi struktural untuk risiko PII dalam pipeline alat adalah mengaonimkan data sebelum mencapai panggilan yang mengirimnya ke LLM. Itulah yang ditawarkan server MCP anonym.legal.
Ia mengekspos 7 alat:
| Alat | Tujuan |
|---|---|
analyze_text | Deteksi entitas PII dan kembalikan posisi serta jenisnya |
anonymize_text | Hapus atau pseudonimkan PII yang terdeteksi |
deanonymize_text | Balikkan pseudonimisasi menggunakan kunci enkripsi Anda |
anonymize_batch | Proses beberapa teks dalam satu panggilan |
get_supported_entities | Daftarkan semua 285+ jenis entitas untuk bahasa tertentu |
get_supported_languages | Daftarkan semua 48 bahasa yang didukung |
health_check | Konfirmasi konektivitas |
Ketika asisten AI memiliki server anonym.legal dan konektor database yang dikonfigurasi, developer dapat menginstruksikan: "Sebelum menampilkan data pelanggan, panggil anonymize_text pada hasilnya." AI menangani orkestrasi. PII tidak pernah mencapai output yang terlihat atau riwayat percakapan dalam bentuk yang dapat diidentifikasi.
Pengaturan Cursor IDE
Untuk menambahkan server anonym.legal ke Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Setelah dikonfigurasi, minta Cursor: "Analisis tiket dukungan ini untuk PII sebelum saya menempelnya ke tracker." Cursor memanggil analyze_text, mengembalikan daftar entitas, dan Anda memutuskan apakah akan mengaonimkan sebelum menempelkan.
Pengaturan Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Dengan konfigurasi ini, Claude Desktop dapat mengaonimkan teks apa pun sebelum dimasukkan ke dalam panggilan alat yang dikirim ke server lain. Anonimisasi berjalan dalam sesi Anda. PII tidak pernah mencapai server Anthropic dalam bentuk yang dapat diidentifikasi.
Perkuat Pengaturan Anda
Selain menggunakan anonym.legal, terapkan langkah-langkah ini. Lihat juga ikhtisar keamanan dan pusat kepatuhan kami.
Audit daftar alat Anda. Periksa setiap entri dalam konfigurasi Anda. Untuk masing-masing: apakah Anda mempercayai operatornya? Apakah Anda tahu data apa yang dapat dijangkaunya?
Utamakan lokal daripada jarak jauh. Server lokal berjalan melalui stdio. Tidak ada eksposur jaringan. Gunakan server jarak jauh hanya jika tidak ada alternatif lokal.
Periksa autentikasi. Setiap server jarak jauh harus memerlukan kunci API atau token OAuth. Jika tidak, jangan gunakan dengan data pengguna nyata.
Pisahkan dev dari produksi. Pertahankan konfigurasi terpisah untuk pekerjaan dev (data uji, tidak ada PII) dan aliran mana pun yang menyentuh pengguna nyata.
Aktifkan logging audit. Jika mendukung log, aktifkan. Ketahui data apa yang melalui setiap panggilan.
Lihat halaman fitur MCP kami untuk daftar lengkap jenis entitas dan bahasa.
Lebih dari 30 CVE dalam 60 hari menunjukkan bahwa protokol sedang dalam pengawasan aktif. Kerentanan baru akan muncul. Tetapi pertahanan inti — anonimkan sebelum data mencapai panggilan LLM — bekerja terhadap CVE spesifik apa pun yang datang berikutnya.
Konfigurasikan server anonym.legal di Cursor →
anonym.legal memproses anonimisasi PII di sisi server menggunakan kunci enkripsi Anda. Data yang dipseudonymkan hanya dapat dibalik dengan kunci tersebut. Diterbitkan oleh anonym.legal, bersertifikat ISO 27001.
Sumber
- Data eksposur server MCP Shodan, Maret 2026 — 8.000+ server, 492 tanpa autentikasi
- CVE-2026-25253, CVSS 8,8, injeksi lintas server melalui Model Context Protocol
- Data SSRF: pemindaian riset keamanan pada endpoint yang dapat diakses publik, Maret 2026
- Spesifikasi MCP Anthropic v1.2, bagian tentang pertimbangan keamanan