L'ecosistema MCP è cresciuto rapidamente — la sicurezza no
Il Model Context Protocol è stato lanciato alla fine del 2024. In meno di 18 mesi è diventato il modo standard per connettere gli strumenti IA ai sistemi esterni. A marzo 2026, l'ecosistema comprende connettori di database, file server, bridge GitHub, client Slack, strumenti email e centinaia di server specializzati.
La curva di crescita è ripida. Il quadro della sicurezza non lo è.
A marzo 2026, 8.000+ server MCP sono su internet pubblico. I ricercatori ne hanno trovati 492 senza alcuna autenticazione — nessuna chiave API, nessun OAuth, nessun filtro IP. Qualsiasi client HTTP può chiamarli. Il 36,7% dei server campionati è aperto all'SSRF (Server-Side Request Forgery). Ciò significa che un aggressore che controlla l'input degli strumenti può raggiungere le risorse di rete interne.
Nello stesso periodo, oltre 30 CVE sono stati archiviati in 60 giorni. Quel tasso mostra sia quanto sia nuovo l'ecosistema sia quanta attenzione riceva dai ricercatori.
Perché il protocollo crea rischi per i dati personali
MCP dà agli assistenti IA il potere di agire sui dati. È anche per questo che rappresenta un rischio per i dati personali.
Quando uno sviluppatore usa Cursor o Claude Desktop con un connettore di database, l'IA scrive SQL da testo normale. Quelle query restituiscono righe reali — nomi, email, dati di pagamento o altri dati personali. Quei dati si muovono attraverso una catena:
- Server database → finestra di contesto dell'assistente IA
- Finestra di contesto → sistemi di log del provider del modello
- Cronologia della conversazione → macchina locale dello sviluppatore
- Sessioni di debug → altri strumenti IA quando lo sviluppatore incolla il contesto
Nessuno di questi passaggi è una violazione. È così che funziona il sistema. Ma i dati personali finiscono in più posti non progettati per contenerli, spesso senza cifratura tra server e client IA.
CVE-2026-25253 (CVSS 8,8), pubblicato a febbraio 2026, ha mostrato un percorso di attacco. Un endpoint malevolo poteva iniettare istruzioni nascoste nelle sue risposte. Quelle istruzioni dicevano all'IA connessa di estrarre dati da altri strumenti attivi. Uno sviluppatore che usava un endpoint community non sicuro accanto al proprio connettore di database poteva far trapelare l'intero database.
I 492 server senza autenticazione
I 492 server aperti sono un problema diverso da CVE-2026-25253. Non sono stati violati. Sono stati configurati male.
La maggior parte era destinata all'esecuzione locale. Qualcuno li ha esposti tramite port forwarding o un deploy cloud senza controlli di accesso.
Cosa espongono spesso questi server:
- Strumenti di file system con accesso in lettura alle cartelle home
- Connettori di database con credenziali live nella configurazione
- Strumenti email collegati a caselle di posta reali
- Strumenti di esecuzione di codice — codice arbitrario, nessuna autenticazione, nessun limite
Gli sviluppatori quasi certamente non intendevano esporli. Ma Cursor e Claude Desktop si connettono a qualsiasi URL nella configurazione. Non c'è un controllo integrato per verificare se un host è locale o pubblico.
La soluzione MCP di anonym.legal
La soluzione strutturale per il rischio PII nelle pipeline di strumenti è anonimizzare i dati prima che raggiungano qualsiasi chiamata che li invia a un LLM. È quello che fornisce il server MCP di anonym.legal.
Espone 7 strumenti:
| Strumento | Scopo |
|---|---|
analyze_text | Rileva le entità PII e restituisce le loro posizioni e tipi |
anonymize_text | Rimuove o pseudonimizza i dati personali rilevati |
deanonymize_text | Inverte la pseudonimizzazione usando la tua chiave di cifratura |
anonymize_batch | Elabora più testi in una singola chiamata |
get_supported_entities | Elenca tutti i 285+ tipi di entità per una data lingua |
get_supported_languages | Elenca tutte le 48 lingue supportate |
health_check | Verifica la connettività |
Quando un assistente IA ha configurati sia il server di anonym.legal sia un connettore di database, lo sviluppatore può istruire: "Prima di mostrare qualsiasi dato del cliente, chiama anonymize_text sul risultato." L'IA gestisce l'orchestrazione. I dati personali non raggiungono mai l'output visibile o la cronologia delle conversazioni in forma identificabile.
Configurazione in Cursor IDE
Per aggiungere il server di anonym.legal a Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Once configurato, chiedi a Cursor: "Analizza questo ticket di supporto per verificare la presenza di dati personali prima che lo incolli nel tracker." Cursor chiama analyze_text, restituisce l'elenco delle entità e si decide se anonimizzare prima di incollare.
Configurazione in Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Con questa configurazione, Claude Desktop può anonimizzare qualsiasi testo prima di includerlo nelle chiamate agli strumenti inviate ad altri server. L'anonimizzazione viene eseguita nella tua sessione. I dati personali non raggiungono mai i server di Anthropic in forma identificabile.
Rafforzare la propria configurazione
Oltre a usare anonym.legal, applicare questi passaggi. Consulta anche la nostra panoramica sulla sicurezza e il centro di conformità.
Verificare l'elenco degli strumenti. Controllare ogni voce nella propria configurazione. Per ciascuna, chiedersi: ci si fida dell'operatore? Si sa a quali dati può accedere?
Preferire il locale al remoto. I server locali vengono eseguiti tramite stdio. Non creano esposizione di rete. Usare server remoti solo quando non esiste un'opzione locale.
Verificare l'autenticazione. Ogni server remoto dovrebbe richiedere una chiave API o un token OAuth. In caso contrario, non usarlo con dati utenti reali.
Separare sviluppo dalla produzione. Mantenere configurazioni separate per il lavoro di sviluppo (dati di test, nessun dato personale) e per qualsiasi flusso che tocchi utenti reali.
Abilitare il logging di audit. Se lo supporta, attivarlo. Sapere quali dati sono transitati attraverso ogni chiamata.
Consulta la nostra pagina delle funzionalità MCP per un elenco completo dei tipi di entità e delle lingue.
I 30+ CVE in 60 giorni mostrano che il protocollo è sotto esame attivo. Nuovi bug compariranno. Ma la difesa fondamentale — anonimizzare prima che i dati raggiungano qualsiasi chiamata LLM — funziona contro qualsiasi CVE specifico che verrà in futuro.
Configura il server di anonym.legal in Cursor →
anonym.legal elabora l'anonimizzazione PII lato server usando la tua chiave di cifratura. I dati pseudonimizzati sono reversibili solo con quella chiave. Pubblicato da anonym.legal, certificato ISO 27001.
Fonti
- Dati sull'esposizione dei server MCP di Shodan, marzo 2026 — 8.000+ server, 492 senza autenticazione
- CVE-2026-25253, CVSS 8,8, injection cross-server tramite Model Context Protocol
- Dati SSRF: scansione di ricerca sulla sicurezza di endpoint pubblicamente accessibili, marzo 2026
- Specifica MCP Anthropic v1.2, sezione considerazioni sulla sicurezza