Ekosystém MCP rástol rýchlo — bezpečnosť nie
Model Context Protocol bol spustený koncom roku 2024. Za menej ako 18 mesiacov sa stal štandardným spôsobom pripájania AI nástrojov k externým systémom. K marcu 2026 ekosystém pokrýva konektory databáz, súborové servery, mosty GitHub, klientov Slack, e-mailové nástroje a stovky doménovo špecifických serverov.
Krivka rastu je strmá. Bezpečnostný obraz nie.
K marcu 2026 8 000+ MCP serverov sedí na verejnom internete. Výskumníci našli 492 s nulovou autentifikáciou — žiadny API kľúč, žiadny OAuth, žiadny IP filter. Môže ich volať akýkoľvek HTTP klient. 36,7 % vzorkovaných serverov je otvorených pre SSRF (Server-Side Request Forgery). To znamená, že útočník, ktorý kontroluje vstup nástroja, môže dosiahnuť interné sieťové zdroje.
V rovnakom období bolo podaných 30+ CVE za 60 dní. Toto tempo ukazuje, aký nový je ekosystém a aká veľká je výskumnícka pozornosť, ktorú dostáva.
Prečo protokol vytvára riziko PII
MCP dáva AI asistentom moc konať na základe dát. To je tiež dôvod, prečo je to riziko PII.
Keď vývojár používa Cursor alebo Claude Desktop s konektorom databázy, AI píše SQL z prostého textu. Tieto dotazy vracajú skutočné riadky — mená, e-maily, platobné údaje alebo iné PII. Tieto údaje sa pohybujú cez reťazec:
- Databázový server -> kontext window AI asistenta
- Kontext window -> logovacie systémy poskytovateľa modelu
- História konverzácie -> lokálny stroj vývojára
- Debugovacie relácie -> ďalšie AI nástroje, keď vývojár vkladá kontext
Žiadny z týchto krokov nie je porušenie. Takto systém funguje. Ale PII skončí na viacerých miestach, ktoré neboli postavené na jej uchovávanie, často bez šifrovania medzi serverom a AI klientom.
CVE-2026-25253 (CVSS 8,8), zverejnený vo februári 2026, ukázal jednu útočnú cestu. Škodlivý endpoint mohol do svojich odpovedí vložiť skryté inštrukcie. Tieto inštrukcie hovorili pripojenej AI, aby vytiahla dáta z iných aktívnych nástrojov. Vývojár používajúci zlý komunitný endpoint vedľa vlastného konektora databázy mohol uniknúť celú databázu.
492 serverov s nulovou autentifikáciou
492 otvorených serverov je iný problém ako CVE-2026-25253. Neboli hacknuté. Boli nastavené zle.
Väčšina bola určená na lokálne spustenie. Niekto ich vystavil cez port forwarding alebo cloudový deploy bez prístupových kontrol.
Čo tieto servery často odhaľujú:
- Nástroje súborového systému s prístupom na čítanie do domovských priečinkov
- Konektory databáz so živými prihlasovacími údajmi v konfigurácii
- E-mailové nástroje viazané na skutočné schránky
- Nástroje na spúšťanie kódu — ľubovoľný kód, žiadna autentifikácia, žiadne limity
Vývojári takmer určite nemali v úmysle ich vystaviť. Ale Cursor a Claude Desktop sa pripájajú k akejkoľvek URL v konfigurácii. Nie je tu zabudovaná kontrola toho, či je hostiteľ lokálny alebo verejný.
Riešenie MCP anonym.legal
Štrukturálna oprava pre riziko PII v nástrojových pipelines je anonymizovať dáta pred tým, ako dosiahnu akékoľvek volanie, ktoré ich odosiela do LLM. Toto poskytuje MCP server anonym.legal.
Vystavuje 7 nástrojov:
| Nástroj | Účel |
|---|---|
analyze_text | Detekcia PII entít a vrátenie ich pozícií a typov |
anonymize_text | Odstránenie alebo pseudonymizácia detekovanej PII |
deanonymize_text | Obrátenie pseudonymizácie pomocou vášho šifrovacieho kľúča |
anonymize_batch | Spracovanie viacerých textov v jednom volaní |
get_supported_entities | Zoznam všetkých 285+ typov entít pre daný jazyk |
get_supported_languages | Zoznam všetkých 48 podporovaných jazykov |
health_check | Overenie konektivity |
Keď má AI asistent nakonfigurovaný server anonym.legal aj konektor databázy, vývojár môže inštruovať: "Pred zobrazením akýchkoľvek zákazníckych dát zavolaj anonymize_text na výsledok." AI sa postará o orchestráciu. PII sa nikdy nedostane do viditeľného výstupu alebo histórie konverzácie v identifikovateľnej forme.
Nastavenie Cursor IDE
Pre pridanie servera anonym.legal do Cursoru:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Po nakonfigurovaní požiadajte Cursor: "Analyzuj tento supportový tiket na PII pred tým, ako ho vložím do trackeru." Cursor zavolá analyze_text, vráti zoznam entít a vy rozhodnete, či anonymizovať pred vložením.
Nastavenie Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
S touto konfiguráciou môže Claude Desktop anonymizovať akýkoľvek text pred jeho zahrnutím do volaní nástrojov odoslaných na iné servery. Anonymizácia beží vo vašej relácii. PII sa nikdy nedostane na servery Anthropic v identifikovateľnej forme.
Posilnenie vášho nastavenia
Okrem používania anonym.legal aplikujte tieto kroky. Pozrite si aj náš prehľad bezpečnosti a centrum súladu.
Auditujte svoj zoznam nástrojov. Skontrolujte každý záznam vo vašej konfigurácii. Pre každý sa pýtajte: dôverujete operátorovi? Viete, k akým dátam môže pristupovať?
Preferujte lokálne pred vzdialenými. Lokálne servery bežia cez stdio. Nevytvárajú žiadnu sieťovú expozíciu. Vzdialené servery používajte len vtedy, keď neexistuje žiadna lokálna možnosť.
Skontrolujte autentifikáciu. Každý vzdialený server by mal vyžadovať API kľúč alebo OAuth token. Ak nie, nepoužívajte ho so skutočnými používateľskými dátami.
Oddeľte dev od produkcie. Udržiavajte samostatné konfigurácie pre dev prácu (testovanie dát, žiadne PII) a akýkoľvek tok, ktorý sa dotýka skutočných používateľov.
Zapnite auditové logovanie. Ak to podporuje logy, zapnite ich. Vedzte, aké dáta prešli cez každé volanie.
Pozrite si našu stránku funkcií MCP pre úplný zoznam typov entít a jazykov.
30+ CVE za 60 dní ukazuje, že protokol je pod aktívnou kontrolou. Nové chyby sa objavia. Ale základná obrana — anonymizovať pred tým, ako dáta dosiahnu akékoľvek LLM volanie — funguje proti akémukoľvek konkrétnemu CVE, ktorý príde ďalej.
Nakonfigurujte server anonym.legal v Cursore ->
anonym.legal spracováva anonymizáciu PII na strane servera pomocou vášho šifrovacieho kľúča. Pseudonymizované dáta sú reverzibilné len s týmto kľúčom. Vydané anonym.legal, certifikované ISO 27001.
Zdroje
- Shodan data o expozícii MCP serverov, marec 2026 — 8 000+ serverov, 492 bez autentifikácie
- CVE-2026-25253, CVSS 8,8, cross-server injekcia cez Model Context Protocol
- SSRF data: bezpečnostný prieskum verejne prístupných endpointov, marec 2026
- Anthropic MCP špecifikácia v1.2, sekcia bezpečnostných aspektov