MCP ekosistem je eksplodirao — sigurnost nije
Model Context Protocol, uveden od Anthropic-a u kasnom 2024, postao je de facto standard za povezivanje AI asistenta sa spoljnim alatima u manje od 18 meseci. Do marta 2026, MCP ekosistem uključuje konektore baze podataka, servere sistema datoteka, GitHub integracije, Slack mostove, e-mail klijente i stotine domenski-specifičnih servera alata.
Kriva usvajanja je strma. Stav sigurnosti nije.
Do marta 2026, 8,000+ MCP servera je javno dostupno na internetu. Istraživači sigurnosti skeniranje za MCP krajnje tačke pronašli su 492 servera bez nikakve autentifikacije — bez API ključa, bez OAuth, bez IP ograničenja. Bilo koji HTTP klijent može pozvati njihove alate. 36.7% uzorkovanja MCP servera je ranjivo na SSRF (Server-Side Request Forgery), što znači da napadač koji kontroliše unos alata može pivotirati sa MCP servera na unutrašnje mrežne resurse.
U istom periodu, 30+ CVE-a je bilo podneseno protiv MCP implementacija u 60 dana — stopa koja odražava i nezrelost ekosistema i intenzitet pažnje istraživanja koja ga je privukla.
Zašto MCP stvara PII rizik
MCP je dizajniran da dati AI asistentima mogućnost da preuzmu akcije i pristupe podacima. To je takođe upravo ono što ga čini PII rizik vektora.
Kad programer koristi Cursor ili Claude Desktop sa MCP konektorom baze podataka, AI asistent generiše SQL upite na osnovu zahteva korisnika na engleskom jeziku. Ti upiti vraćaju prave podatke — što može sadržavati imena kupaca, e-mail adrese, informacije o plaćanju ili ostale PII. Taj podaci teku:
- Iz MCP servera baze podataka → u kontekstni prozor AI asistenta
- Iz kontekstnog prozora → potencijalno u infrastrukturu logovanja modela pružaoca
- Iz istorije konverzacije → na mašinu programera
- Iz sesija otklanjanja greške → drugim AI asistentima kad programer kopa kontekst
Nijedan od tih koraka nije nužno kršenje. To su namenjeno ponašanja MCP-a. Ali rezultat je da PII putuje kroz više sistema koji nisu dizajnirani da ga rukuju, bez enkripcije u prelazu između MCP servera i AI klijenta u mnogim implementacijama.
CVE-2026-25253 (CVSS 8.8), otkrivena u februaru 2026, je pokazala specifičan napad: zlonameran konfigurisan MCP server bi mogao injektovati instrukcije u odgovore poziva alata koji su uzrokovali da povezani AI asistent egzfiltrira podatke sa drugih povezanih MCP servera. Programer koji se povezuje sa kompromitovanim serveskim MCP serverom dok takođe ima svoj MCP server baze podataka aktivan mogao bi da otkriva celu bazu podataka napadaču.
492 servera bez autentifikacije
492 MCP servera bez autentifikacije predstavlja drugačiji rizik od CVE-2026-25253. To nisu kompromitovani legitimni serveri — oni su jednostavno pogrešno konfigurisani. Mnogi izgleda kao razvojni alati koji su trebali biti samo lokalni ali su bili izloženi preko port prosljeđivanja ili cloud-a bez kontrole pristupa.
Šta ovi serveri obično otkrivaju:
- Alate sistema datoteka sa pristupom čitanja home direktorijumima
- Konektore baze podataka sa kredencijalom produkcije ugninežđenim u konfig
- E-mail MCP servere sa pristupom korporativnim inboks-ima
- Okruženja izvršavanja koda (najopasnije — proizvoljno izvršavanje koda bez auth)
Programeri koji su izgradili ove servere gotovo sigurno nisu namjeravali da ih javno izlože. Ali Cursor i Claude Desktop ne prave razliku između localhost MCP servera i javno izloženog — oni se povezuju na bilo koji URL koji korisnik obezbedi u svojoj konfiguraciji.
Rešenje anonym.legal MCP
Strukturna ispravka za PII rizik u MCP cevovpodima je anonimizuj podatke pre nego što dosegnu bilo koji poziv alata koji ga šalje LLM-u. To je ono što anonym.legal MCP server pruža.
Server otkriva 7 alata:
| Alat | Svrha |
|---|---|
analyze_text | Detektuj PII entitete i vrati njihove pozicije i tipove |
anonymize_text | Ukloni ili pseudonimizuj detektovane PII |
deanonymize_text | Preokreni pseudonimizaciju koristeći tvoj ključ za enkripciju |
anonymize_batch | Obradi više tekstova u jednom pozivu |
get_supported_entities | Lista svi 285+ tipove entiteta za dati jezik |
get_supported_languages | Lista svi 48 podržanih jezika |
health_check | Proverі konekcivnost |
Kad AI asistent ima i anonym.legal MCP server i MCP server baze podataka konfiguriran, programer može uputiti: "Pre nego što prikazuješ bilo koje podatke kupca iz baze podataka, pozovi anonymize_text na rezultat." AI rukuje orkestrацijom — i PII nikad ne dostiže vidljiv izlaz modela ili istoriju konverzacije u prepoznatljivom obliku.
Cursor IDE Integracija
Da dodam anonym.legal MCP server Cursor-u:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Jednom kada konfigurira, možeš pitati Cursor: "Analzuj ovaj tikет podrške za PII pre nego što ga zalepim u tracker problema." Cursor poziva analyze_text, vraća listu entiteta i možeš da odlučiš da li da anonimizuješ pre nego što zalepanja.
Claude Desktop Integracija
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Sa ovom konfiguracijom, Claude Desktop može anonimizovati bilo koji tekst koji delic pre nego što ga uključi u pozive alata poslati drugim MCP serverima. Anonimizacija se desava u klijentskoj sesiji Claude Desktop-a — PII nikad ne dostiče Anthropic servere u prepoznatljivom obliku.
Ojačavanje tvoje MCP postavke
Izvan korišćenja anonym.legal MCP, primeni ove korake ojačavanja svojoj MCP konfiguraciji:
Audituj listu servera. Pregledi svaki MCP server u svojoj konfiguraciji Cursor/Claude Desktop. Za svaki, proveri da li verovaš operateru i razume šta podatke može pristupiti.
Preferiraj lokalne servere nad daljinama. Lokalni MCP serveri (povezani preko stdio umesto HTTP) ne kreiraju mrežnu izloženost. Koristi udaljene servere samo kada nema lokalnu alternativu.
Proverи autentifikaciju. Svaki udaljeni MCP server kojem se povezuješ trebao bi zahtevati API ključ ili OAuth token. Ako to ne daje, ne koristi ga sa kontekstima koji sadrže PII.
Odvoji razvoj i produkciju. Koristi odvojene MCP serverske konfiguracije za razvojni rad (sintetički podaci, bez PII) i bilo koje toka koji dotičи produkcijske podatke.
Nadzir pozive alata. Ako tvoj MCP server podržava audit logovanje, omogući ga. Zna koji podaci teče kroz koje pozive alata.
30+ CVE-a u 60 dana signalizira da je MCP sigurnost aktivno istraživana. Nove ranjivosti će biti otkrivene. Strukturna odbrana — anonimizuj pre nego što bilo koji podaci dosegnu poziv alata koji dodiruje LLM — ostaje efektivna bez obzira na koje se specifične CVE otkriva sledeće.
Konfiguriraj anonym.legal MCP u Cursor →
Izvori:
- Shodan MCP server izlaganja, mart 2026 — 8,000+ servera, 492 bez auth
- CVE-2026-25253, CVSS 8.8, MCP cross-server injekzija ranjivost
- SSRF podaci ranjivosti: istraživačka skeniranja javno dostupnih MCP krajnjih tačaka, mart 2026
- Anthropic MCP specifikacija v1.2, sigurnosni razmatranja sekcija