Ekosystem MCP rozrósł się szybko — bezpieczeństwo nie nadążyło
Model Context Protocol zadebiutował pod koniec 2024 roku. W niecałe 18 miesięcy stał się standardowym sposobem łączenia narzędzi AI z zewnętrznymi systemami. Do marca 2026 roku ekosystem obejmuje konektory baz danych, serwery plików, mosty GitHub, klientów Slack, narzędzia e-mail i setki serwerów dziedzinowych.
Krzywa wzrostu jest stroma. Bezpieczeństwo — nie.
Według stanu na marzec 2026 roku ponad 8 000 serwerów MCP jest dostępnych w publicznym internecie. Badacze wykryli 492 bez żadnego uwierzytelniania — bez klucza API, bez OAuth, bez filtra IP. Może je wywołać dowolny klient HTTP. 36,7% przebadanych serwerów jest podatnych na SSRF (Server-Side Request Forgery). Oznacza to, że atakujący kontrolujący dane wejściowe narzędzia może dotrzeć do zasobów sieci wewnętrznej.
W tym samym okresie w ciągu 60 dni zgłoszono ponad 30 CVE. Tempo to pokazuje zarówno nowość ekosystemu, jak i zainteresowanie badaczy.
Dlaczego protokół stwarza ryzyko dla danych osobowych
MCP daje asystentom AI możliwość działania na danych. To też powód, dla którego stanowi ryzyko dla danych osobowych.
Kiedy programista używa Cursora lub Claude Desktop z konektorem bazy danych, AI pisze SQL na podstawie tekstu w języku naturalnym. Zapytania te zwracają prawdziwe rekordy — imiona i nazwiska, adresy e-mail, dane płatności lub inne dane osobowe. Dane przepływają przez łańcuch:
- Serwer bazy danych → okno kontekstu asystenta AI
- Okno kontekstu → systemy logowania dostawcy modelu
- Historia konwersacji → lokalny komputer programisty
- Sesje debugowania → inne narzędzia AI, gdy programista wkleja kontekst
Żaden z tych kroków nie jest naruszeniem. Tak właśnie działa system. Jednak dane osobowe trafiają do wielu miejsc nieprzystosowanych do ich przechowywania, często bez szyfrowania między serwerem a klientem AI.
CVE-2026-25253 (CVSS 8,8), opublikowana w lutym 2026 roku, pokazała jeden ze scenariuszy ataku. Złośliwy endpoint mógł wstrzykiwać ukryte instrukcje do swoich odpowiedzi. Instrukcje te nakazywały podłączonemu AI pobieranie danych z innych aktywnych narzędzi. Programista korzystający ze złego endpointu społecznościowego obok własnego konektora bazy danych mógł doprowadzić do wycieku całej bazy.
492 serwery bez uwierzytelniania
492 otwarte serwery to inny problem niż CVE-2026-25253. Nie zostały zhakowane. Zostały źle skonfigurowane.
Większość miała działać lokalnie. Ktoś wystawił je przez przekierowanie portów lub wdrożenie w chmurze bez kontroli dostępu.
Co te serwery często ujawniają:
- Narzędzia do obsługi systemu plików z dostępem do folderów domowych
- Konektory baz danych z aktywnymi danymi uwierzytelniającymi w konfiguracji
- Narzędzia e-mail podpięte do prawdziwych skrzynek odbiorczych
- Narzędzia do wykonywania kodu — dowolny kod, bez uwierzytelniania, bez ograniczeń
Programiści prawie na pewno nie zamierzali ich eksponować. Jednak Cursor i Claude Desktop łączą się z dowolnym URL wpisanym w konfiguracji. Nie ma wbudowanego sprawdzenia, czy host jest lokalny czy publiczny.
Rozwiązanie MCP od anonym.legal
Strukturalną odpowiedzią na ryzyko danych osobowych w potokach narzędzi jest anonimizacja danych zanim trafią do jakiegokolwiek wywołania wysyłającego je do modelu LLM. Właśnie to zapewnia serwer MCP anonym.legal.
Udostępnia 7 narzędzi:
| Narzędzie | Przeznaczenie |
|---|---|
analyze_text | Wykrywa encje danych osobowych i zwraca ich pozycje oraz typy |
anonymize_text | Usuwa lub pseudonimizuje wykryte dane osobowe |
deanonymize_text | Odwraca pseudonimizację przy użyciu klucza szyfrowania |
anonymize_batch | Przetwarza wiele tekstów w jednym wywołaniu |
get_supported_entities | Zwraca listę wszystkich ponad 285 typów encji dla danego języka |
get_supported_languages | Zwraca listę wszystkich 48 obsługiwanych języków |
health_check | Weryfikuje łączność |
Kiedy asystent AI ma skonfigurowany zarówno serwer anonym.legal, jak i konektor bazy danych, programista może wydać polecenie: „Przed wyświetleniem jakichkolwiek danych klientów wywołaj anonymize_text na wyniku”. AI zajmuje się orkiestracją. Dane osobowe nigdy nie trafiają do widocznego wyjścia ani historii konwersacji w postaci umożliwiającej identyfikację.
Konfiguracja Cursor IDE
Aby dodać serwer anonym.legal do Cursora:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer TWÓJ_KLUCZ_API"
}
}
}
}
Po skonfigurowaniu zapytaj Cursora: „Przeanalizuj to zgłoszenie do wsparcia pod kątem danych osobowych, zanim wkleję je do trackera”. Cursor wywoła analyze_text, zwróci listę encji, a Ty zdecydujesz, czy anonimizować przed wklejeniem.
Konfiguracja Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "TWÓJ_KLUCZ_API"
}
}
}
}
Z tą konfiguracją Claude Desktop może anonimizować dowolny tekst przed umieszczeniem go w wywołaniach narzędzi wysyłanych do innych serwerów. Anonimizacja odbywa się w Twojej sesji. Dane osobowe w postaci umożliwiającej identyfikację nigdy nie trafiają na serwery Anthropica.
Wzmocnienie konfiguracji
Poza korzystaniem z anonym.legal zastosuj poniższe kroki. Zapoznaj się też z naszym omówieniem bezpieczeństwa i centrum zgodności.
Przeprowadź audyt listy narzędzi. Sprawdź każdy wpis w konfiguracji. Dla każdego zapytaj: czy ufasz operatorowi? Czy wiesz, do jakich danych ma dostęp?
Preferuj lokalne zamiast zdalnych. Lokalne serwery działają przez stdio. Nie tworzą ekspozycji sieciowej. Używaj serwerów zdalnych tylko wtedy, gdy nie istnieje opcja lokalna.
Sprawdź uwierzytelnianie. Każdy zdalny serwer powinien wymagać klucza API lub tokenu OAuth. Jeśli tego nie wymaga — nie używaj go z prawdziwymi danymi użytkowników.
Oddziel środowisko deweloperskie od produkcji. Utrzymuj oddzielne konfiguracje dla pracy deweloperskiej (dane testowe, bez danych osobowych) i dla przepływów dotykających prawdziwych użytkowników.
Włącz logowanie audytowe. Jeśli serwer obsługuje logi — włącz je. Wiedz, jakie dane przeszły przez każde wywołanie.
Zapoznaj się z naszą stroną funkcji MCP, aby zobaczyć pełną listę typów encji i języków.
Ponad 30 CVE w 60 dni pokazuje, że protokół jest pod aktywną obserwacją badaczy. Nowe błędy będą się pojawiać. Jednak podstawowa obrona — anonimizuj zanim dane trafią do jakiegokolwiek wywołania LLM — działa przeciwko każdemu konkretnemu CVE, który pojawi się w przyszłości.
Skonfiguruj serwer anonym.legal w Cursorze →
anonym.legal przetwarza anonimizację danych osobowych po stronie serwera przy użyciu Twojego klucza szyfrowania. Pseudonimizowane dane są odwracalne wyłącznie za pomocą tego klucza. Opublikowane przez anonym.legal, certyfikat ISO 27001.
Źródła
- Dane ekspozycji serwerów MCP z Shodana, marzec 2026 — ponad 8 000 serwerów, 492 bez uwierzytelniania
- CVE-2026-25253, CVSS 8,8, wstrzykiwanie między serwerami przez Model Context Protocol
- Dane SSRF: skan bezpieczeństwa publicznie dostępnych endpointów, marzec 2026
- Specyfikacja Anthropic MCP v1.2, sekcja dotycząca bezpieczeństwa