MCP-serversikkerhet 2026: 8 000 eksponert, 492 uten autentisering

MCP-ekonomiet vokste raskt — sikkerheten gjorde ikke det

Model Context Protocol ble lansert sent i 2024. Pa under 18 maneder ble det standardmaten a koble AI-verktoy til eksterne systemer. Per mars 2026 dekker okosystemet databasekoblinger, filservere, GitHub-broer, Slack-klienter, e-postverktoy og hundrevis av domenespesifikke servere.

Vekstkurven er bratt. Sikkerhetsbildet er det ikke.

Per mars 2026 sitter 8 000+ MCP-servere pa det offentlige internett. Forskere fant 492 med ingen autentisering — ingen API-nokkel, ingen OAuth, intet IP-filter. Enhver HTTP-klient kan kalle dem. 36,7 % av samplete servere er apne for SSRF (Server-Side Request Forgery). Det betyr at en angriper som kontrollerer verktoysinndataene kan na interne nettverksressurser.

I samme periode ble 30+ CVE-er innsendt pa 60 dager. Den raten viser bade hvor nytt okosystemet er og hvor mye forskeroppmerksomhet det far.

Hvorfor protokollen skaper PII-risiko

MCP gir AI-assistenter makt til a handle pa data. Det er ogsa grunnen til at det er en PII-risiko.

Nar en utvikler bruker Cursor eller Claude Desktop med en databasekobling, skriver AI-en SQL fra klartekst. Disse sporringene returnerer ekte rader — navn, e-postadresser, betalingsdata eller annen PII. Disse dataene beveges gjennom en kjede:

1. Databaseserver → AI-assistentens kontekstvindu
2. Kontekstvindu → modelleverandorens loggsystemer
3. Samtalehistorikk → utviklerens lokale maskin
4. Feilosokingsokter → andre AI-verktoy nar utvikleren limer inn kontekst

Ingen av disse trinnene er et brudd. Det er slik systemet fungerer. Men PII ender opp pa flere steder som ikke er bygget for a holde det, ofte uten kryptering mellom server og AI-klient.

CVE-2026-25253 (CVSS 8,8), publisert februar 2026, viste en angrepsvei. Et ondsinnet endepunkt kunne injisere skjulte instruksjoner i svarene. Disse instruksjonene ba den tilkoblede AI-en om a hente data fra andre aktive verktoy. En utvikler som bruker et dårlig fellesskapsendepunkt ved siden av sin egen databasekobling kunne lekke hele databasen.

De 492 null-autentiserings-serverne

De 492 apne serverne er et annet problem enn CVE-2026-25253. De ble ikke hacket. De ble satt opp feil.

De fleste var ment a kjore lokalt. Noen eksponerte dem via port-videresending eller en skyutrulling uten tilgangskontroller.

Hva disse serverne ofte eksponerer:

• Filsystem-verktoy med lesetilgang til hjemmemapper
• Databasekoblinger med live-legitimasjon i konfigurasjonen
• E-postverktoy koblet til ekte inboxer
• Kodekjoringsverktoy — vilkarlig kode, ingen autentisering, ingen begrensninger

Utviklerne mente nesten sikkert ikke a eksponere dem. Men Cursor og Claude Desktop kobler til enhver URL i konfigurasjonen. Det er ingen innebygd sjekk for om en vert er lokal eller offentlig.

anonym.legal MCP-losningen

Den strukturelle rettelsen for PII-risiko i verktoy-rorledninger er a anonymisere data for den nar et kall som sender den til en LLM. Dette er hva anonym.legal MCP-serveren gir.

Den eksponerer 7 verktoy:

Nar en AI-assistent har bade anonym.legal-serveren og en databasekobling konfigurert, kan utvikleren instruere: "For du viser kundedata, kall anonymize_text pa resultatet." AI-en handterer orkestreringen. PII nar aldri det synlige resultatet eller samtaleloggen i identifiserbar form.

Cursor IDE-oppsett

Slik legger du til anonym.legal-serveren i Cursor:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

Nar konfigurert, be Cursor: "Analyser denne supportbilletten for PII for jeg limer den inn i trackeren." Cursor kaller analyze_text, returnerer enhetslisten, og du bestemmer om du skal anonymisere for innliming.

Claude Desktop-oppsett

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

Med denne konfigurasjonen kan Claude Desktop anonymisere all tekst for den inkluderes i verktoyskall sendt til andre servere. Anonymiseringen kjorer i okten din. PII nar aldri Anthropics servere i identifiserbar form.

Herding av oppsettet ditt

Utover bruk av anonym.legal, anvend disse trinnene. Se ogsa sikkerhetsoversikten og samsvarssenteret.

Revider verktøylisten din. Sjekk hver oppforing i konfigurasjonen din. For hver, spor: stoler du pa operatoren? Vet du hvilke data den kan na?

Foretrekk lokal fremfor ekstern. Lokale servere kjorer via stdio. De skaper ingen nettverkseksponering. Bruk eksterne servere bare nar ingen lokal alternativ finnes.

Sjekk autentisering. Hver ekstern server bor kreve en API-nokkel eller OAuth-token. Hvis den ikke gjor det, ikke bruk den med ekte brukerdata.

Separer utvikling fra produksjon. Hold separate konfigurasjoner for utviklingsarbeid (testdata, ingen PII) og enhver flyt som beror ekte brukere.

Aktiver revisjonslogging. Hvis det stotter logger, slA dem pa. Vit hvilke data som gikk gjennom hvert kall.

Se MCP-funksjonssiden for en fullstendig liste over enhetstyper og sprak.

De 30+ CVE-ene pa 60 dager viser at protokollen er under aktiv gransking. Nye feil vil dukke opp. Men kjerneforsvaret — anonymiser for data nar et LLM-kall — virker mot enhver spesifikk CVE som kommer neste gang.

Konfigurer anonym.legal-serveren i Cursor →

anonym.legal behandler PII-anonymisering pa serversiden ved hjelp av krypteringsnokkel. Pseudonymiserte data er reversible bare med den nokkel. Publisert av anonym.legal, ISO 27001-sertifisert.

Kilder

• Shodan MCP-servereksponeringsdata, mars 2026 — 8 000+ servere, 492 null-autentisering
• CVE-2026-25253, CVSS 8,8, kryssserver-injeksjon via Model Context Protocol
• SSRF-data: sikkerhetsforskningsskanning av offentlig tilgjengelige endepunkter, mars 2026
• Anthropic MCP-spesifikasjon v1.2, seksjonen om sikkerhets hensyn