anonym.legal
Kembali ke BlogKeselamatan AI

Keselamatan Pelayan MCP 2026: 8,000 Terdedah, 492 Tanpa Pengesahan

8,000+ pelayan Model Context Protocol terdedah secara awam. 492 mempunyai sifar pengesahan. 36.7% terdedah kepada SSRF. Lindungi PII dalam alat MCP anda.

March 16, 20267 min baca
MCP serverModel Context ProtocolAI securityPII protectionCursorClaude Desktopdeveloper security

Ekosistem MCP Berkembang Pesat - Keselamatan Tidak

Protokol Konteks Model dilancarkan pada akhir 2024. Dalam masa kurang dari 18 bulan ia menjadi cara standard untuk menyambungkan alat AI ke sistem luar. Menjelang Mac 2026, ekosistem meliputi penyambung pangkalan data, pelayan fail, jambatan GitHub, klien Slack, alat e-mel, dan ratusan pelayan khusus domain.

Kurva pertumbuhan adalah curam. Gambaran keselamatan tidak.

Setakat Mac 2026, 8,000+ pelayan MCP berada di internet awam. Penyelidik menemui 492 tanpa pengesahan sama sekali - tiada kunci API, tiada OAuth, tiada penapis IP. Mana-mana klien HTTP boleh memanggil mereka. 36.7% pelayan yang dipersamplkan terdedah kepada SSRF (Server-Side Request Forgery). Ini bermakna penyerang yang mengawal input alat boleh mencapai sumber rangkaian dalaman.

Dalam tempoh yang sama, 30+ CVE difailkan dalam 60 hari. Kadar itu menunjukkan betapa baharu ekosistem itu dan betapa banyak tumpuan penyelidik yang diterimanya.

Mengapa Protokol Mewujudkan Risiko PII

MCP memberi pembantu AI kuasa untuk bertindak ke atas data. Itulah juga sebabnya ia adalah risiko PII.

Apabila pembangun menggunakan Cursor atau Claude Desktop dengan penyambung pangkalan data, AI menulis SQL daripada teks biasa. Pertanyaan tersebut mengembalikan baris sebenar - nama, e-mel, data pembayaran, atau PII lain. Data itu bergerak melalui rantaian:

  1. Pelayan pangkalan data - tetingkap konteks pembantu AI
  2. Tetingkap konteks - sistem log penyedia model
  3. Sejarah perbualan - mesin tempatan pembangun
  4. Sesi debug - alat AI lain apabila pembangun menampal konteks

Tiada satu pun daripada langkah ini adalah pelanggaran. Beginilah cara sistem berfungsi. Tetapi PII berakhir di pelbagai tempat yang tidak dibina untuk menyimpannya, sering tanpa penyulitan antara pelayan dan klien AI.

CVE-2026-25253 (CVSS 8.8), diterbitkan pada Februari 2026, menunjukkan satu laluan serangan. Titik akhir berniat jahat boleh menyuntik arahan tersembunyi ke dalam responsnya. Arahan tersebut memberitahu AI yang bersambung untuk menarik data daripada alat aktif lain. Pembangun yang menggunakan titik akhir komuniti buruk di sebelah penyambung pangkalan data mereka sendiri boleh membocorkan keseluruhan pangkalan data.

492 Pelayan Sifar-Auth

492 pelayan terbuka adalah masalah berbeza daripada CVE-2026-25253. Mereka tidak digodam. Mereka disediakan dengan salah.

Kebanyakan dimaksudkan untuk berjalan secara tempatan. Seseorang mendedahkannya melalui pemajuan port atau penggunaan awan tanpa kawalan akses.

Apa yang sering didedahkan pelayan ini:

  • Alat sistem fail dengan akses baca ke folder rumah
  • Penyambung pangkalan data dengan kelayakan langsung dalam konfigurasi
  • Alat e-mel yang terikat pada peti masuk sebenar
  • Alat pelaksanaan kod - kod sewenang-wenangnya, tiada auth, tiada had

Pembangun hampir pasti tidak berniat mendedahkan mereka. Tetapi Cursor dan Claude Desktop bersambung ke mana-mana URL dalam konfigurasi. Tiada semakan terbina dalam sama ada hos adalah tempatan atau awam.

Penyelesaian MCP anonym.legal

Pembetulan struktural untuk risiko PII dalam saluran paip alat adalah untuk menganonim data sebelum ia mencapai mana-mana panggilan yang menghantarnya ke LLM. Inilah yang disediakan oleh pelayan MCP anonym.legal.

Ia mendedahkan 7 alat:

AlatTujuan
analyze_textKesan entiti PII dan kembalikan kedudukan dan jenis mereka
anonymize_textKelupas atau pseudonimkan PII yang dikesan
deanonymize_textBalikkan pseudonimasi menggunakan kunci penyulitan anda
anonymize_batchProses pelbagai teks dalam satu panggilan
get_supported_entitiesSenaraikan semua 285+ jenis entiti untuk bahasa yang diberikan
get_supported_languagesSenaraikan semua 48 bahasa yang disokong
health_checkSahkan ketersambungan

Apabila pembantu AI mempunyai pelayan anonym.legal dan penyambung pangkalan data yang dikonfigurasikan, pembangun boleh mengarahkan: "Sebelum menunjukkan sebarang data pelanggan, panggil anonymize_text pada hasilnya." AI mengendalikan orkestrasi. PII tidak pernah sampai ke output yang kelihatan atau sejarah perbualan dalam bentuk yang boleh dikenal pasti.

Persediaan Cursor IDE

Untuk menambah pelayan anonym.legal ke Cursor:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

Setelah dikonfigurasikan, tanya Cursor: "Analisis tiket sokongan ini untuk PII sebelum saya tampalkan ke dalam pelacak." Cursor memanggil analyze_text, mengembalikan senarai entiti, dan anda memutuskan sama ada hendak menganonim sebelum menampal.

Persediaan Claude Desktop

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

Dengan konfigurasi ini, Claude Desktop boleh menganonim sebarang teks sebelum memasukkannya dalam panggilan alat yang dihantar ke pelayan lain. Anonimasi berjalan dalam sesi anda. PII tidak pernah sampai ke pelayan Anthropic dalam bentuk yang boleh dikenal pasti.

Mengeraskan Persediaan Anda

Selain menggunakan anonym.legal, gunakan langkah-langkah ini. Lihat juga gambaran keselamatan dan pusat pematuhan kami.

Audit senarai alat anda. Semak setiap entri dalam konfigurasi anda. Untuk setiap satu, tanya: adakah anda mempercayai pengendali? Adakah anda tahu data apa yang boleh dicapainya?

Lebih suka tempatan daripada jauh. Pelayan tempatan berjalan melalui stdio. Mereka tidak mewujudkan pendedahan rangkaian. Gunakan pelayan jauh hanya apabila tiada pilihan tempatan.

Semak pengesahan. Setiap pelayan jauh harus memerlukan kunci API atau token OAuth. Jika tidak, jangan gunakannya dengan data pengguna sebenar.

Asingkan dev daripada pengeluaran. Simpan konfigurasi berasingan untuk kerja dev (data ujian, tanpa PII) dan sebarang aliran yang menyentuh pengguna sebenar.

Aktifkan pengelogan audit. Jika ia menyokong log, hidupkannya. Ketahui data apa yang melalui setiap panggilan.

Lihat halaman ciri MCP kami untuk senarai penuh jenis entiti dan bahasa.

30+ CVE dalam 60 hari menunjukkan protokol berada di bawah penelitian aktif. Pepijat baru akan muncul. Tetapi pertahanan teras - anonimkan sebelum data mencapai mana-mana panggilan LLM - berfungsi terhadap mana-mana CVE khusus yang datang seterusnya.

Konfigurasikan pelayan anonym.legal dalam Cursor

anonym.legal memproses anonimasi PII di sebelah pelayan menggunakan kunci penyulitan anda. Data pseudonim boleh dibalikkan hanya dengan kunci tersebut. Diterbitkan oleh anonym.legal, bersijil ISO 27001.

Sumber

  • Data pendedahan pelayan MCP Shodan, Mac 2026 - 8,000+ pelayan, 492 sifar-auth
  • CVE-2026-25253, CVSS 8.8, suntikan merentas pelayan melalui Model Context Protocol
  • Data SSRF: imbasan penyelidikan keselamatan titik akhir yang boleh diakses secara awam, Mac 2026
  • Spesifikasi MCP Anthropic v1.2, bahagian pertimbangan keselamatan

Artikel Berkaitan

Keselamatan AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Keselamatan AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Keselamatan AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan PercumaLihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.