MCP-þjóns öryggi 2026: 8.000 útsettir, 492 án auðkenningar

MCP-vistkerfið óx hratt — öryggið gerði það ekki

Model Context Protocol var kynnt seint árs 2024. Á undir 18 mánuðum varð það staðlað leiðin til að tengja gervigreindartæki við utanaðkomandi kerfi. Frá og með mars 2026 nær vistkerfið yfir gagnagrunn­tenglar, skráaþjóna, GitHub-brýr, Slack-biðlara, tölvupóststæki og hundruð sérverkefna þjóna.

Vaxtar­ferlið er bratt. Öryggismyndin er það ekki.

Frá og með mars 2026 sitja 8.000+ MCP-þjónar á almenningi á internetinu. Rannsakendur fundu 492 án auðkenningar — enga API-lykil, ekkert OAuth, engan IP-síu. Sérhver HTTP-biðlari getur kallað á þá. 36,7% sýnishorns­þjóna eru opnir fyrir SSRF (Server-Side Request Forgery). Það þýðir að árásarmaður sem stýrir tólsinntökum getur náð í innlægar netauðlindir.

Á sama tíma voru 30+ CVE-skráðar á 60 dögum. Þessi tíðni sýnir bæði hve nýtt vistkerfið er og hversu mikla rannsakenda­athygli það fær.

Hvers vegna samskiptareglan skapar PII-áhættu

MCP gefur gervigreindaðstoðarmönnum vald til að starfa á gögnum. Það er líka hvers vegna það er PII-áhætta.

Þegar þróari notar Cursor eða Claude Desktop með gagnagrunn­tengli skrifar gervigreind SQL úr venjulegum texta. Þessar fyrirspurnir skila raunverulegum línum — nöfnum, netföngum, greiðslugögnum eða öðrum PII. Þessi gögn færast um keðju:

1. Gagnagrunn­þjónn → samhengisgluggann á gervigreindaðstoðarmanninum
2. Samhengisglugginn → skráarkerfi LLM-veitunnar
3. Samtalasaga → tölvuna þróara á staðnum
4. Kembilotur → önnur gervigreindartæki þegar þróari límir samhengi

Engin þessara skrefa er brot. Þetta er hvernig kerfið virkar. En PII endar á mörgum stöðum sem eru ekki byggðar til að geyma hana, oft án dulkóðunar á milli þjóns og gervigreindabiðlara.

CVE-2026-25253 (CVSS 8,8), birt í febrúar 2026, sýndi eina árásarleið. Illgjarn endastöð gæti sprautað falnum leiðbeiningum inn í svör sín. Þessar leiðbeiningar sögðu tengdri gervigreind að draga gögn frá öðrum virkum tólum. Þróari sem notar slæman samfélagsendastað við hlið eigin gagnagrunn­tengils gæti lekið alla gagnagrunnsinn.

492 núll-auðkenningar-þjónarnir

492 opnu þjónarnir eru annað vandamál en CVE-2026-25253. Þeir voru ekki reyptir. Þeir voru settir upp rangt.

Flestir voru ætlaðir til að keyra staðbundið. Einhver útsetti þá með gáttaáframsendingu eða skýjauppsetning án aðgangsstýringa.

Hvað þessir þjónar afhjúpa oft:

• Skráakerfistæki með lesaðgang að heimasmámappar
• Gagnagrunn­tenglar með raunveruleg skilríki í stillingunni
• Tölvupósttæki tengd við raunveruleg pósthólf
• Kóðaframkvæmdartæki — handahófskenndar kóðar, engin auðkenning, engar takmarkanir

Þróararnir ætluðu nær örugglega ekki að útsettja þá. En Cursor og Claude Desktop tengjast hvaða URL sem er í stillingunni. Það er engin innbyggð athugun á hvort hýsill er staðbundinn eða opinber.

anonym.legal MCP-lausnin

Strúktúrlagfæringin fyrir PII-áhættu í tólaforritsleiðslum er að nafnlækta gögn áður en þau ná í köll sem senda þau til LLM. Þetta er hvað anonym.legal MCP-þjónninn veitir.

Hann afhjúpar 7 tæki:

Þegar gervigreindaðstoðarmaður hefur bæði anonym.legal-þjóninn og gagnagrunn­tengil stilltan, getur þróari gefið leiðbeiningar: "Áður en gögn viðskiptavina eru sýnd, kallaðu á anonymize_text á niðurstöðuna." Gervigreind sér um samhæfinguna. PII nær aldrei til sýnilegra úttaka eða samtalasögu í auðkennanlegu formi.

Uppsetning Cursor IDE

Til að bæta anonym.legal-þjóninum við Cursor:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

Einn sinni stilltur, spyrðu Cursor: "Greindu þennan stuðningsmiða eftir PII áður en ég líma hann inn í rakningarforritið." Cursor kallar á analyze_text, skilar eininga­listanum og þú ákveður hvort þú nafnlæktir áður en þú límir.

Claude Desktop-uppsetning

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

Með þessari stillingu getur Claude Desktop nafnlækt hvern texta áður en hann er tekinn með í tólaköllum sem send eru til annarra þjóna. Nafnleynd keyrir á lotunni þinni. PII nær aldrei til þjóna Anthropic í auðkennanlegu formi.

Herðing uppsetningar þinnar

Þvert yfir að nota anonym.legal skaltu nota þessi skref. Sjá einnig öryggi yfirlit og reglufylgni miðstöð okkar.

Endurskoðaðu tólalistann þinn. Athugaðu hverja færslu í stillingunum þínum. Fyrir hverja spyrðu: treystirðu rekstraraðilanum? Veistu hvaða gögn hann getur náð?

Kjóstu staðbundið yfir fjartengd. Staðbundnir þjónar keyra í gegnum stdio. Þeir skapa enga netútsetningu. Notaðu fjartengda þjóna aðeins þegar engin staðbundin valkostur er til.

Athugaðu auðkenningu. Sérhver fjartengdur þjónn ætti að krefjast API-lykils eða OAuth-tóka. Ef hann gerir það ekki, notaðu hann ekki með raunverulegum notendagögnum.

Aðskildu þróun frá framleiðslu. Haltu aðskildum stillingum fyrir þróunarvinnu (prófunargögn, engin PII) og hvert flæði sem snertir raunverulega notendur.

Virkjaðu endurskoðunar­skráningu. Ef það styður annála skaltu kveikja á þeim. Veistu hvaða gögn fóru í gegnum hvert kall.

Sjá MCP-eiginleikasíðu okkar fyrir fulla lista yfir eininga­tegundir og tungumál.

30+ CVE á 60 dögum sýna að samskiptareglan er undir virkri skoðun. Nýir gallar munu birtast. En kjarnavarnin — nafnlæktu áður en gögn ná í hvert LLM-kall — virkar gegn hvaða sérstaka CVE sem kemur næst.

Stilltu anonym.legal-þjóninn í Cursor →

anonym.legal vinnur PII-nafnleynd á þjónshlið með dulkóðunarlykli þínum. Gervi-nafnlækt gögn eru aðeins afturkræf með þeim lykli. Birt af anonym.legal, ISO 27001 vottað.

Heimildir

• Shodan MCP-þjóns útsetningargögn, mars 2026 — 8.000+ þjónar, 492 núll-auðkenning
• CVE-2026-25253, CVSS 8,8, þverþjóns-innspýting í gegnum Model Context Protocol
• SSRF-gögn: öryggisrannsóknar­skoðun á opinberlega aðgengilegum endastöðvum, mars 2026
• Anthropic MCP-forskrift v1.2, öryggisjónarmiðs­hluti