Ekosistem MCP je hitro zrasel -- varnost ni
Model Context Protocol je bil lansiran konec leta 2024. V manj kot 18 mesecih je postal standardni nacin za povezovanje orodij AI z zunanjimi sistemi. Do marca 2026 ekosistem pokriva konektorje baz podatkov, datotecne streznike, mostove GitHub, odjemalce Slack, e-postna orodja in stotine domensko specificnih streznikov.
Krivulja rasti je strma. Varnostna slika pa ni.
Do marca 2026 8.000+ streznikov MCP sedi na javnem internetu. Raziskovalci so nasli 492 brez nikakrsne avtentikacije -- brez kljuca API, brez OAuth, brez filtra IP. Vsak odjemalec HTTP jih lahko pokli. 36,7 % vzorcnih streznikov je odprtih za SSRF (Ponarejanje strezniskich zahtev). To pomeni, da napadalec, ki nadzira vhod orodja, lahko doseze notranje omrezne vire.
V istem obdobju je bilo v 60 dneh vlozenem 30+ CVE. Ta stopnja kaze tako na novost ekosistema kot na kolicino pozornosti raziskovalcev.
Zakaj protokol ustvarja tveganje za PII
MCP daje AI pomocniku moc za ukrepanje s podatki. To je prav zato tveganje za PII.
Ko razvijalec uporablja Cursor ali Claude Desktop s konektorjem baze podatkov, AI pise SQL iz navadnega besedila. Te poizvedbe vracajo prave vrstice -- imena, e-poste, placilne podatke ali drug PII. Ti podatki se premikajo po verigi:
- Streznik baze podatkov -> kontekstno okno AI pomocnika
- Kontekstno okno -> sistemi dnevnikov ponudnika modela
- Zgodovina pogovorov -> lokalni racunalnik razvijalca
- Seje razhroscevanja -> druga orodja AI, ko razvijalec prilepi kontekst
Noben od teh korakov ni krsitev. Tako sistem deluje. Toda PII konca na vec mestih, ki niso bila zgrajena za njegovo shranjevanje, pogosto brez sifriranja med strezniki in odjemalci AI.
CVE-2026-25253 (CVSS 8,8), objavljen februarja 2026, je pokazal eno pot napada. Zlonamerna koncna tocka je lahko vbrizgala skrita navodila v svoje odzive. Ta navodila so povezanem AI narocila, da potegne podatke iz drugih aktivnih orodij. Razvijalec, ki je brskal z javno dostopno tocko skupnosti poleg lastnega konektorja baze podatkov, je morda razkrilje celotno bazo podatkov.
492 streznikov brez avtentikacije
492 odprtih streznikov je drugacna tezava od CVE-2026-25253. Niso bili vdrti. Napacno so bili nastavljeni.
Vecina je bila zasnovana za lokalno delovanje. Nekdo jih je izpostavil prek posredovanja vrat ali cloud uvajanja brez nadzora dostopa.
Kar ti strezniki pogosto izpostavijo:
- Orodja datotecnega sistema z dostopom za branje v domacih mapah
- Konektorje baze podatkov z zivimi poverilnicami v konfiguraciji
- E-postna orodja, vezana na prave nabiralnike
- Orodja za izvajanje kode -- poljubna koda, brez avtentikacije, brez omejitev
Razvijalci najverjetneje niso namerno nameravali izpostaviti. Toda Cursor in Claude Desktop se povezujeta z vsakim URL-jem v konfiguraciji. Ni vgrajenega preverjanja, ali je gostitelj lokalen ali javen.
Resitev MCP anonym.legal
Strukturna resitev tveganja PII v cevovodih orodij je anonimizacija podatkov, preden dosezejo klic, ki jih poslje LLM-ju. To je tisto, kar zagotavlja streznik MCP anonym.legal.
Izpostavi 7 orodij:
| Orodje | Namen |
|---|---|
analyze_text | Zazna entitete PII in vrne njihove polozaje in vrste |
anonymize_text | Odpravlja ali psevdonimizira zaznani PII |
deanonymize_text | Obrne psevdonimizacijo z vasim sifrirnim kljucem |
anonymize_batch | Obdela vec besedil v enem klicu |
get_supported_entities | Navede vseh 285+ vrst entitet za dani jezik |
get_supported_languages | Navede vseh 48 podprtih jezikov |
health_check | Preveri povezljivost |
Ko ima AI pomocnik konfiguriran tako streznik anonym.legal kot konektor baze podatkov, lahko razvijalec narocelvi: "Preden prikazete katere koli podatke strank, poklicite anonymize_text na rezultatu." AI skrbi za orkestracijo. PII nikoli ne doseze vidnega izhoda ali zgodovine pogovorov v prepoznavni obliki.
Nastavitev Cursor IDE
Da dodate streznik anonym.legal v Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Ko je konfiguriran, vprasajte Cursor: "Analiziraj to zahtevko za podporo za PII, preden jo prilepim v sledilnik." Cursor pokli analyze_text, vrne seznam entitet in vi se odlocite, ali anonimizirati pred lepljenjem.
Nastavitev Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
S to konfiguracijo Claude Desktop anonimizira katero koli besedilo, preden ga vkljuci v klice orodij, poseljene na druge streznike. Anonimizacija tece v vasi seji. PII nikoli ne doseze Anthropicovih streznikov v prepoznavni obliki.
Krepitev vase nastavitve
Poleg uporabe anonym.legal upostevajte te korake. Glejte tudi nas pregled varnosti in center skladnosti.
Revidirajte seznam orodij. Preverite vsak vnos v konfiguraciji. Za vsakega se vprasajte: zaupate upravljavcu? Veste, do katerih podatkov ima dostop?
Raje lokalno kot oddaljeno. Lokalni strezniki tecejo prek stdio. Ne ustvarjajo omrezne izpostavljenosti. Oddaljene streznike uporabljajte le, kadar lokalna moznost ne obstaja.
Preverite avtentikacijo. Vsak oddaljeni streznik bi moral zahtevati kljuc API ali zseton OAuth. Ce ne zahteva, ga ne uporabljajte z resnicnimi podatki uporabnikov.
Locite razvoj od produkcije. Vzdrzujte locene konfiguracije za razvojno delo (testni podatki, brez PII) in vsak tok, ki se dotika resnicnih uporabnikov.
Omogocite belezenje revizij. Ce podpira dnevnike, jih vkljucite. Vedite, kateri podatki so prisli skozi vsak klic.
Glejte naso stran funkcij MCP za popoln seznam vrst entitet in jezikov.
30+ CVE v 60 dneh kaze, da je protokol pod aktivnim pregledom. Pojavile se bodo nove hrоscice. Toda osnovna obramba -- anonimizacija, preden podatki dosezejo klic LLM -- deluje proti kateremukoli specificnemu CVE, ki sledi.
Konfigurirajte streznik anonym.legal v Cursor ->
anonym.legal obdeluje anonimizacijo PII na strezniski strani z vasim sifrirnim kljucem. Psevdonimizirani podatki so reverzibilni le s tem kljucem. Objavlja anonym.legal, certificiran po ISO 27001.
Viri
- Podatki o izpostavljenosti streznikov MCP Shodan, marec 2026 -- 8.000+ streznikov, 492 brez avtentikacije
- CVE-2026-25253, CVSS 8,8, medsebojno vbrizgavanje prek Model Context Protocol
- Podatki SSRF: varnostno skeniranje javno dostopnih koncnih tock, marec 2026
- Specifikacija Anthropic MCP v1.2, razdelek o varnostnih vidikih