MCP ekosistema augo greitai — saugumas ne
Model Context Protocol buvo paleistas 2024 m. pabaigoje. Per mažiau nei 18 mėnesių jis tapo standartiniu būdu sujungti DI įrankius su išorinėmis sistemomis. Iki 2026 m. kovo ekosistema apima duomenų bazių jungtis, failų serverius, GitHub tiltus, Slack klientus, el. pašto įrankius ir šimtus specifinių sričių serverių.
Augimo kreivė yra staigi. Saugumo vaizdas nėra.
2026 m. kovo mėn. 8 000+ MCP serverių yra viešajame internete. Tyrėjai rado 492 su nuliniu autentifikavimu — jokio API rakto, jokio OAuth, jokio IP filtro. Bet koks HTTP klientas gali juos iškviesti. 36,7% ištirtų serverių yra atviri SSRF atakoms (Server-Side Request Forgery). Tai reiškia, kad užpuolikas, valdantis įrankių įvestis, gali pasiekti vidinio tinklo išteklius.
Tuo pačiu laikotarpiu per 60 dienų buvo pateikti 30+ CVE. Tas greitis rodo ir tai, koks naujas yra ekosistema, ir tai, kiek tyrėjų dėmesio ji gauna.
Kodėl protokolas sukuria ADA riziką
MCP suteikia DI asistentams galimybę veikti su duomenimis. Tai taip pat yra ADA rizika.
Kai kūrėjas naudoja Cursor ar Claude Desktop su duomenų bazės jungtimi, DI rašo SQL iš paprasto teksto. Tos užklausos grąžina realias eilutes — vardus, el. pašto adresus, mokėjimo duomenis ar kitus ADA. Tie duomenys juda per grandinę:
- Duomenų bazės serveris → DI asistento konteksto langas
- Konteksto langas → modelio tiekėjo žurnalų sistemos
- Pokalbių istorija → kūrėjo vietinis kompiuteris
- Derinimo sesijos → kiti DI įrankiai, kai kūrėjas įklijuoja kontekstą
Nė vienas iš šių žingsnių nėra pažeidimas. Taip sistema veikia. Tačiau ADA patenka į kelias vietas, nesukurtas jam laikyti, dažnai be šifravimo tarp serverio ir DI kliento.
CVE-2026-25253 (CVSS 8.8), paskelbtas 2026 m. vasarį, parodė vieną atakos kelią. Kenkėjiškas galutinis taškas galėjo įterpti paslėptas instrukcijas į savo atsakymus. Tos instrukcijos nurodė prijungtam DI išgauti duomenis iš kitų aktyvių įrankių. Kūrėjas, naudojantis blogą bendruomenės galutinį tašką šalia savo duomenų bazės jungties, galėjo nutekinti visą duomenų bazę.
492 nulinės autentifikacijos serveriai
492 atviri serveriai yra kitokia problema nei CVE-2026-25253. Jie nebuvo nulaužti. Jie buvo netinkamai sukonfigūruoti.
Dauguma buvo skirti veikti lokaliai. Kažkas juos atskleidė per prievado persiuntimą arba debesies diegimą be prieigos valdiklių.
Kas šie serveriai dažnai atskleidžia:
- Failų sistemos įrankiai su skaitymo prieiga prie namų aplankų
- Duomenų bazių jungtys su gyvomis kredencialais konfigūracijoje
- El. pašto įrankiai, susieti su realiais paštų dėžučiais
- Kodo vykdymo įrankiai — savavališka kodo, jokios autentifikacijos, jokių apribojimų
Kūrėjai beveik tikrai neketino jų atskleisti. Tačiau Cursor ir Claude Desktop jungiasi prie bet kurio URL konfigūracijoje. Nėra jokio integruoto patikrinimo, ar serveris yra lokalus ar viešas.
anonym.legal MCP sprendimas
Struktūrinis ADA rizikos įrankių konvejeriuose pataisymas yra anoniminuoti duomenis prieš jiems pasiekiant bet kurį iškvietimą, siunčiantį juos į LLM. Tai suteikia anonym.legal MCP serveris.
Jis atskleidžia 7 įrankius:
| Įrankis | Paskirtis |
|---|---|
analyze_text | Aptikti ADA objektus ir grąžinti jų pozicijas bei tipus |
anonymize_text | Pašalinti arba pseudonimizuoti aptiktus ADA |
deanonymize_text | Atšaukti pseudonimizavimą naudojant jūsų šifravimo raktą |
anonymize_batch | Apdoroti kelis tekstus vienu iškvietimu |
get_supported_entities | Išvardinti visus 285+ objektų tipus nurodytai kalbai |
get_supported_languages | Išvardinti visas 48 palaikomas kalbas |
health_check | Patikrinti ryšio veikimą |
Kai DI asistentas turi tiek anonym.legal serverį, tiek duomenų bazės jungtį sukonfigūruotą, kūrėjas gali nurodyti: "Prieš rodydamas bet kokius klientų duomenis, iškvieskite anonymize_text rezultatui." DI valdo organizavimą. ADA niekada nepasiekia matomos išvesties ar pokalbių istorijos identifikuojama forma.
Cursor IDE sąranka
Norėdami pridėti anonym.legal serverį prie Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Konfigūravus, paklauskite Cursor: "Išanalizuok šį palaikymo bilietą dėl ADA prieš įklijuodamas jį į sekiklį." Cursor iškviečia analyze_text, grąžina objektų sąrašą ir jūs nusprendžiate, ar anoniminuoti prieš įklijuojant.
Claude Desktop sąranka
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Naudodamas šią konfigūraciją, Claude Desktop gali anoniminuoti bet kokį tekstą prieš jį įtraukdamas į įrankių iškvietimus, siunčiamus kitiems serveriams. Anonimizavimas veikia jūsų sesijoje. ADA niekada nepasiekia Anthropic serverių identifikuojama forma.
Jūsų sąrankos sustiprinimas
Be anonym.legal naudojimo, taikykite šiuos žingsnius. Taip pat žr. mūsų saugumo apžvalgą ir atitikties centrą.
Audituokite savo įrankių sąrašą. Patikrinkite kiekvieną konfigūracijos įrašą. Dėl kiekvieno klauskite: ar pasitikite operatoriumi? Ar žinote, prie kokių duomenų jis gali prieiti?
Teikite pirmenybę lokaliam, o ne nuotoliniam. Lokalūs serveriai veikia per stdio. Jie nekuria tinklo poveikio. Naudokite nuotolinius serverius tik tada, kai nėra lokalios alternatyvos.
Patikrinkite autentifikavimą. Kiekvienas nuotolinis serveris turėtų reikalauti API rakto arba OAuth žetono. Jei to nereikalauja, nenaudokite jo su realiais vartotojų duomenimis.
Atskirkite kūrimą nuo gamybos. Laikykite atskiras konfigūracijas kūrimo darbui (bandymų duomenys, jokių ADA) ir bet kokiam srautui, liekantiems su realiais vartotojais.
Įgalinkite audito registravimą. Jei palaiko žurnalus, įjunkite juos. Žinokite, kokie duomenys praėjo per kiekvieną iškvietimą.
Žr. mūsų MCP funkcijų puslapį dėl viso objektų tipų ir kalbų sąrašo.
30+ CVE per 60 dienų rodo, kad protokolas yra aktyviai tiriamas. Atsiras naujų klaidų. Tačiau pagrindinė gynyba — anoniminuoti prieš duomenims pasiekiant bet kurį LLM iškvietimą — veikia prieš bet kurį konkretų CVE, kuris ateis toliau.
Konfigūruokite anonym.legal serverį Cursor programoje →
anonym.legal apdoroja ADA anonimizavimą serverio pusėje naudojant jūsų šifravimo raktą. Pseudonimizuoti duomenys yra grąžinami tik su tuo raktu. Paskelbta anonym.legal, sertifikuoto pagal ISO 27001.
Šaltiniai
- Shodan MCP serverio poveikio duomenys, 2026 m. kovas — 8 000+ serverių, 492 nulinės autentifikacijos
- CVE-2026-25253, CVSS 8.8, tarpserverinė injekcija per Model Context Protocol
- SSRF duomenys: saugumo tyrimų nuskaitymas viešai prieinamų galutinių taškų, 2026 m. kovas
- Anthropic MCP specifikacija v1.2, saugumo aspektų skyrius