Ecosistemul MCP a Crescut Rapid — Securitatea Nu
Model Context Protocol a fost lansat la sfârșitul anului 2024. În mai puțin de 18 luni a devenit modalitatea standard de conectare a instrumentelor AI la sisteme externe. Până în martie 2026, ecosistemul acoperă conectori de baze de date, servere de fișiere, punți GitHub, clienți Slack, instrumente de email și sute de servere specifice domeniului.
Curba de creștere este abruptă. Imaginea de securitate nu.
Până în martie 2026, 8.000+ servere MCP sunt pe internetul public. Cercetătorii au găsit 492 cu zero autentificare — fără cheie API, fără OAuth, fără filtru IP. Orice client HTTP le poate apela. 36,7% din serverele eșantionate sunt deschise la SSRF (Server-Side Request Forgery). Asta înseamnă că un atacator care controlează intrarea instrumentului poate ajunge la resursele rețelei interne.
În aceeași perioadă, 30+ CVE-uri au fost depuse în 60 de zile. Acea rată arată atât cât de nou este ecosistemul, cât și cât de mult atenție primește din partea cercetătorilor.
De Ce Protocolul Creează Risc PII
MCP le dă asistenților AI puterea de a acționa asupra datelor. De aceea este și un risc PII.
Când un dezvoltator folosește Cursor sau Claude Desktop cu un conector de baze de date, AI-ul scrie SQL din text simplu. Acele interogări returnează rânduri reale — nume, emailuri, date de plată sau alte PII. Acele date se mișcă printr-un lanț:
- Serverul de baze de date → fereastra de context a asistentului AI
- Fereastra de context → sistemele de jurnalizare ale furnizorului de model
- Istoricul conversației → mașina locală a dezvoltatorului
- Sesiunile de depanare → alte instrumente AI când dezvoltatorul lipește contextul
Niciun pas din aceasta nu este o breșă. Astfel funcționează sistemul. Dar PII ajunge în mai multe locuri neechipate să îl dețină, adesea fără criptare între server și clientul AI.
CVE-2026-25253 (CVSS 8,8), publicat în februarie 2026, a arătat o cale de atac. Un endpoint malițios putea injecta instrucțiuni ascunse în răspunsurile sale. Acele instrucțiuni îi spuneau AI-ului conectat să extragă date din alte instrumente active. Un dezvoltator care folosea un endpoint comunitar rău lângă propriul conector de baze de date putea scurge întreaga bază de date.
Cele 492 de Servere cu Zero Autentificare
Cele 492 de servere deschise sunt o problemă diferită față de CVE-2026-25253. Nu au fost hackuite. Au fost configurate greșit.
Majoritatea erau menite să ruleze local. Cineva le-a expus prin port forwarding sau o implementare în cloud fără controale de acces.
Ce expun adesea aceste servere:
- Instrumente de sistem de fișiere cu acces de citire la dosarele acasă
- Conectori de baze de date cu credențiale live în configurație
- Instrumente de email legate de căsuțe poștale reale
- Instrumente de execuție de cod — cod arbitrar, fără autentificare, fără limite
Dezvoltatorii aproape sigur nu intenționau să le expună. Dar Cursor și Claude Desktop se conectează la orice URL din configurație. Nu există nicio verificare incorporată dacă un host este local sau public.
Soluția MCP anonym.legal
Remedierea structurală pentru riscul PII în pipeline-urile de instrumente este să anonimizați datele înainte de a ajunge la orice apel care le trimite la un LLM. Asta oferă serverul MCP anonym.legal.
Expune 7 instrumente:
| Instrument | Scop |
|---|---|
analyze_text | Detectează entitățile PII și returnează pozițiile și tipurile lor |
anonymize_text | Elimină sau pseudonimizează PII detectat |
deanonymize_text | Inversează pseudonimizarea folosind cheia dvs. de criptare |
anonymize_batch | Procesează mai multe texte într-un singur apel |
get_supported_entities | Listează toate 285+ tipurile de entități pentru o limbă dată |
get_supported_languages | Listează toate cele 48 de limbi suportate |
health_check | Verifică conectivitatea |
Când un asistent AI are atât serverul anonym.legal, cât și un conector de baze de date configurat, dezvoltatorul poate instrui: „Înainte de a afișa orice date ale clienților, apelați anonymize_text pe rezultat." AI-ul se ocupă de orchestrare. PII nu ajunge niciodată la ieșirea vizibilă sau istoricul conversației sub formă identificabilă.
Configurare Cursor IDE
Pentru a adăuga serverul anonym.legal la Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer CHEIA_DVS_API"
}
}
}
}
Odată configurat, cereți Cursor: „Analizați acest tichet de suport pentru PII înainte să îl lipesc în tracker." Cursor apelează analyze_text, returnează lista de entități și decideți dacă să anonimizați înainte de a lipi.
Configurare Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "CHEIA_DVS_API"
}
}
}
}
Cu această configurație, Claude Desktop poate anonimiza orice text înainte de a-l include în apelurile la instrumente trimise altor servere. Anonimizarea rulează în sesiunea dvs. PII nu ajunge niciodată la serverele Anthropic sub formă identificabilă.
Întărirea Configurației Dvs.
Pe lângă utilizarea anonym.legal, aplicați acești pași. Consultați și prezentarea noastră de securitate și centrul de conformitate.
Auditați lista dvs. de instrumente. Verificați fiecare intrare din configurație. Pentru fiecare, întrebați: aveți încredere în operator? Știți la ce date poate ajunge?
Preferați localul față de remote. Serverele locale rulează prin stdio. Nu creează nicio expunere de rețea. Folosiți servere remote doar când nu există nicio opțiune locală.
Verificați autentificarea. Fiecare server remote ar trebui să necesite o cheie API sau un token OAuth. Dacă nu o face, nu îl folosiți cu date reale ale utilizatorilor.
Separați dev-ul de producție. Păstrați configurații separate pentru munca de dev (date de test, fără PII) și orice flux care atinge utilizatori reali.
Activați înregistrarea auditului. Dacă suportă jurnale, activați-le. Știți ce date au trecut prin fiecare apel.
Consultați pagina funcțiilor MCP pentru o listă completă de tipuri de entități și limbi.
Cele 30+ CVE-uri în 60 de zile arată că protocolul este sub scrutinul activ al cercetătorilor. Vor apărea bug-uri noi. Dar apărarea de bază — anonimizați înainte ca datele să ajungă la orice apel LLM — funcționează împotriva oricărui CVE specific care urmează.
Configurați serverul anonym.legal în Cursor →
anonym.legal procesează anonimizarea PII pe server folosind cheia dvs. de criptare. Datele pseudonimizate sunt reversibile numai cu acea cheie. Publicat de anonym.legal, certificat ISO 27001.
Surse
- Date de expunere a serverelor MCP Shodan, martie 2026 — 8.000+ servere, 492 cu zero autentificare
- CVE-2026-25253, CVSS 8,8, injecție inter-server prin Model Context Protocol
- Date SSRF: scanare de cercetare de securitate a endpoint-urilor accesibile public, martie 2026
- Specificația MCP Anthropic v1.2, secțiunea considerații de securitate