MCP ekosistem je brzo rastao -- bezbjednost nije
Model Context Protocol je pokrenut krajem 2024. Za manje od 18 mjeseci postao je standardni nacin za povezivanje AI alata sa vanjskim sistemima. Do marta 2026. ekosistem pokriva konektore baza podataka, servere datoteka, GitHub mostove, Slack klijente, alate za email i stotine domain-specificnih servera.
Krivulja rasta je strma. Bezbjednosna slika nije.
Od marta 2026. godine, vise od 8.000 MCP servera sjedi na javnom internetu. Istrazivaci su pronasli 492 sa nultom autentifikacijom -- bez API kljuca, bez OAuth-a, bez IP filtera. Bilo koji HTTP klijent ih moze pozvati. 36,7% uzorkovanih servera je otvoreno za SSRF (falsifikovanje zahtjeva sa strane servera). To znaci da napadac koji kontrolise unos alata moze doseci interne mrene resurse.
U istom periodu, 30+ CVE-ova je podneseno u 60 dana. Ta stopa pokazuje i koliko je ekosistem nov i koliko je fokusa istrazivaca dobija.
Zasto protokol stvara PII rizik
MCP daje AI asistentima moc da djeluju na podacima. To je takodje razlog zasto je PII rizik.
Kada programer koristi Cursor ili Claude Desktop sa konektorom baze podataka, AI pise SQL iz obicnog teksta. Ti upiti vracaju stvarne redove -- imena, emailove, podatke o placanju ili drugi PII. Ti podaci se krecu kroz lanac:
- Server baze podataka --> prozor konteksta AI asistenta
- Prozor konteksta --> log sistemi provajdera modela
- Istorija razgovora --> lokalna masina programera
- Sesije otklanjanja gresaka --> drugi AI alati kada programer zalijeplja kontekst
Nijedan od ovih koraka nije krsenje. Ovako sistem radi. Ali PII podaci zavrsavaju na vise mjesta koja nisu izgradjenaas njih, cesto bez enkripcije izmedju servera i AI klijenta.
CVE-2026-25253 (CVSS 8.8), objavljen u februaru 2026., pokazao je jedan put napada. Zlonamjeran endpoint mogao bi ubrizgati skrivena uputstva u svoje odgovore. Ta uputstva su govorila povezanom AI-u da povuce podatke iz ostalih aktivnih alata. Programer koji koristi los community endpoint pored sopstvenog konektora baze podataka moze procuriti cijelu bazu podataka.
492 servera sa nultom autentifikacijom
492 otvorena servera su drugaciji problem od CVE-2026-25253. Nisu hakovani. Postavljeni su pogresno.
Vecina je trebala raditi lokalno. Neko ih je izlozio putem prosljedjivanja portova ili cloud implementacije bez kontrola pristupa.
Sta ovi serveri cesto izlazu:
- Alati sistema datoteka sa pristupom za citanje ku home folderima
- Konektori baze podataka sa zivim akreditivima u konfiguraciji
- Alati za email vezani za stvarne sanducice
- Alati za izvrsavanje koda -- proizvoljni kod, bez autentifikacije, bez ogranicenja
Programeri gotovo sigurno nisu namjeravali izloziti ih. Ali Cursor i Claude Desktop se povezuju na bilo koji URL u konfiguraciji. Nema ugradjene provjere da li je host lokalan ili javan.
anonym.legal MCP rjesenje
Strukturna popravka za PII rizik u cjevovodima alata je anonimizovati podatke prije nego sto dospeju do bilo kog poziva koji ih salje LLM-u. To je ono sto anonym.legal MCP server pruzaju.
Izlaze 7 alata:
| Alat | Svrha |
|---|---|
analyze_text | Detektuje PII entitete i vraca njihove pozicije i vrste |
anonymize_text | Uklanja ili pseudonimizuje detektovani PII |
deanonymize_text | Ponistava pseudonimizaciju koristeci vas kljuc za enkripciju |
anonymize_batch | Obraduje vise tekstova u jednom pozivu |
get_supported_entities | Lista svih 285+ vrsta entiteta za dati jezik |
get_supported_languages | Lista svih 48 podrzanih jezika |
health_check | Verifikuje povezivost |
Kada AI asistent ima konfigurisan i anonym.legal server i konektor baze podataka, programer moze uputiti: "Prije prikazivanja bilo kojih podataka klijenata, pozovi anonymize_text na rezultatu." AI se bavi orkestriranjem. PII nikada ne doseze vidljivi izlaz ili istoriju razgovora u identifikabilnom obliku.
Podesavanje Cursor IDE-a
Za dodavanje anonym.legal servera u Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Jednom konfigurisani, pitajte Cursor: "Analiziraj ovaj tiket podrske za PII prije nego sto ga zalijepim u tracker." Cursor poziva analyze_text, vraca listu entiteta i vi odlucujete da li da anonimizujete prije lijepljenja.
Podesavanje Claude Desktop-a
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Sa ovom konfiguracijom, Claude Desktop moze anonimizovati bilo koji tekst prije nego sto ga ukljuci u pozive alata poslane na druge servere. Anonimizacija se izvrsava u vasoj sesiji. PII nikada ne doseze Anthropiceve servere u identifikabilnom obliku.
Ojacajte svoje podesavanje
Pored koristenja anonym.legal-a, primijenite ove korake. Pogledajte takodje nas pregled bezbjednosti i centar za uskladjenost.
Revidirajte svoju listu alata. Provjerite svaki unos u vasoj konfiguraciji. Za svaki, pitajte: da li vjerujete operateru? Znate li kojim podacima moze pristupiti?
Preferirajte lokalno nad udaljenim. Lokalni serveri rade putem stdio. Ne stvaraju mreznu izlozenost. Koristite udaljene servere samo kada ne postoji lokalna opcija.
Provjerite autentifikaciju. Svaki udaljeni server bi trebao zahtijevati API kljuc ili OAuth token. Ako ne, ne koristite ga sa stvarnim korisnickim podacima.
Odvojite razvoj od produkcije. Drzite odvojene konfiguracije za razvojni rad (testni podaci, bez PII-a) i svaki tok koji dodiruje stvarne korisnike.
Omogucite evidentiranje revizije. Ako podrzava logove, ukljucite ih. Znajte koji podaci su prosli kroz svaki poziv.
Pogledajte nasu stranicu MCP funkcija za potpunu listu vrsta entiteta i jezika.
30+ CVE-ova u 60 dana pokazuje da je protokol pod aktivnim nadzorom. Nove greske ce se pojaviti. Ali osnovna odbrana -- anonimizujte prije nego sto podaci dospeju do bilo kog LLM poziva -- funkcionise protiv bilo kog specificnog CVE-a koji dodje sljedeci.
Konfigurisite anonym.legal server u Cursoru -->
anonym.legal obradjuje anonimizaciju PII-a na strani servera koristeci vas kljuc za enkripciju. Pseudonimizovani podaci su reverzibilni samo sa tim kljucem. Objavljuje anonym.legal, ISO 27001 sertifikovano.
Izvori
- Shodan podaci o izlozenosti MCP servera, mart 2026. -- 8.000+ servera, 492 bez autentifikacije
- CVE-2026-25253, CVSS 8.8, ubrizgavanje na vise servera putem Model Context Protocol-a
- SSRF podaci: bezbjednosno skeniranje javno dostupnih endpointa, mart 2026.
- Anthropic MCP specifikacija v1.2, sekcija o bezbjednosnim razmatranjima