MCP-ekosystemet växte snabbt — säkerheten gjorde det inte
Model Context Protocol lanserades i slutet av 2024. På under 18 månader blev det standardsättet att ansluta AI-verktyg till externa system. I mars 2026 täcker ekosystemet databaskopplingar, filservrar, GitHub-bryggor, Slack-klienter, e-postverktyg och hundratals domänspecifika servrar.
Tillväxtkurvan är brant. Säkerhetsläget är det inte.
I mars 2026 finns 8 000+ MCP-servrar på det offentliga internet. Forskare hittade 492 med noll autentisering — ingen API-nyckel, ingen OAuth, inget IP-filter. Vilken HTTP-klient som helst kan anropa dem. 36,7 % av de undersökta servrarna är öppna för SSRF (Server-Side Request Forgery). Det innebär att en angripare som kontrollerar verktygets inmatning kan nå interna nätverksresurser.
Under samma period lämnades 30+ CVE:er in på 60 dagar. Den takten visar både hur nytt ekosystemet är och hur mycket forskarfokus det får.
Varför protokollet skapar PII-risk
MCP ger AI-assistenter kraften att agera på data. Det är också därför det är en PII-risk.
När en utvecklare använder Cursor eller Claude Desktop med en databaskoppling skriver AI:n SQL från vanlig text. Dessa frågor returnerar riktiga rader — namn, e-postadresser, betalningsdata eller annan PII. Den datan rör sig genom en kedja:
- Databasserver → AI-assistentens kontextfönster
- Kontextfönster → modelleverantörens loggsystem
- Konversationshistorik → utvecklarens lokala maskin
- Felsökningssessioner → andra AI-verktyg när utvecklaren klistrar in kontext
Inget av dessa steg är ett intrång. Så här fungerar systemet. Men PII hamnar på flera ställen som inte är byggda för att hålla det, ofta utan kryptering mellan server och AI-klient.
CVE-2026-25253 (CVSS 8,8), publicerad i februari 2026, visade en attackväg. En skadlig slutpunkt kunde injicera dolda instruktioner i sina svar. Dessa instruktioner bad den anslutna AI:n att hämta data från andra aktiva verktyg. En utvecklare som använde en dålig community-slutpunkt bredvid sin egen databaskoppling kunde läcka hela databasen.
De 492 servrarna utan autentisering
De 492 öppna servrarna är ett annat problem än CVE-2026-25253. De hackades inte. De konfigurerades fel.
De flesta var avsedda att köras lokalt. Någon exponerade dem via port-vidarebefordran eller en molndriftsättning utan åtkomstkontroller.
Vad dessa servrar ofta exponerar:
- Filsystemverktyg med läsåtkomst till hemkataloger
- Databaskopplingar med live-autentiseringsuppgifter i konfigurationen
- E-postverktyg kopplade till riktiga inkorgar
- Kodexekveringsverktyg — godtycklig kod, ingen autentisering, inga begränsningar
Utvecklarna menade nästan säkert inte att exponera dem. Men Cursor och Claude Desktop ansluter till vilken URL som helst i konfigurationen. Det finns ingen inbyggd kontroll för om en värd är lokal eller offentlig.
anonym.legal MCP-lösningen
Den strukturella åtgärden för PII-risk i verktygs-pipelines är att anonymisera data innan den når ett anrop som skickar den till en LLM. Det är vad anonym.legal MCP-servern tillhandahåller.
Den exponerar 7 verktyg:
| Verktyg | Syfte |
|---|---|
analyze_text | Detektera PII-entiteter och returnera deras positioner och typer |
anonymize_text | Ta bort eller pseudonymisera detekterad PII |
deanonymize_text | Återställ pseudonymisering med din krypteringsnyckel |
anonymize_batch | Bearbeta flera texter i ett anrop |
get_supported_entities | Lista alla 285+ entitetstyper för ett givet språk |
get_supported_languages | Lista alla 48 stödda språk |
health_check | Verifiera anslutning |
När en AI-assistent har både anonym.legal-servern och en databaskoppling konfigurerad kan utvecklaren instruera: "Innan du visar kunddata, anropa anonymize_text på resultatet." AI:n hanterar orkestreringen. PII når aldrig det synliga utdatan eller konversationshistoriken i identifierbar form.
Cursor IDE-konfiguration
För att lägga till anonym.legal-servern i Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
När det är konfigurerat, fråga Cursor: "Analysera detta supportärende för PII innan jag klistrar in det i trackern." Cursor anropar analyze_text, returnerar entitetslistan och du bestämmer om du vill anonymisera innan inklistring.
Claude Desktop-konfiguration
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Med denna konfiguration kan Claude Desktop anonymisera all text innan den inkluderas i verktygsanrop som skickas till andra servrar. Anonymiseringen körs i din session. PII når aldrig Anthropics servrar i identifierbar form.
Förstärka din konfiguration
Utöver att använda anonym.legal, tillämpa dessa steg. Se även vår säkerhetsöversikt och efterlevnadscenter.
Granska din verktygslista. Kontrollera varje post i din konfiguration. För varje, fråga dig: litar du på operatören? Vet du vilken data den kan nå?
Föredra lokal framför fjärr. Lokala servrar körs via stdio. De skapar ingen nätverksexponering. Använd fjärrservrar bara när inget lokalt alternativ finns.
Kontrollera autentisering. Varje fjärrserver bör kräva en API-nyckel eller OAuth-token. Om den inte gör det, använd den inte med riktiga användardata.
Separera dev från produktion. Ha separata konfigurationer för dev-arbete (testdata, ingen PII) och alla flöden som berör riktiga användare.
Aktivera granskningsloggning. Om det stöder loggar, aktivera dem. Vet vilken data som gick igenom varje anrop.
Se vår MCP-funktionssida för en fullständig lista över entitetstyper och språk.
De 30+ CVE:erna på 60 dagar visar att protokollet är under aktiv granskning. Nya buggar kommer att dyka upp. Men kärnförsvaret — anonymisera innan data når ett LLM-anrop — fungerar mot alla specifika CVE:er som kommer härnäst.
Konfigurera anonym.legal-servern i Cursor →
anonym.legal bearbetar PII-anonymisering server-sidan med din krypteringsnyckel. Pseudonymiserad data är endast reversibel med den nyckeln. Publicerat av anonym.legal, ISO 27001-certifierat.
Källor
- Shodan MCP-serverexponeringsdata, mars 2026 — 8 000+ servrar, 492 utan autentisering
- CVE-2026-25253, CVSS 8,8, kors-serverinjektion via Model Context Protocol
- SSRF-data: säkerhetsforskningsskanning av offentligt tillgängliga slutpunkter, mars 2026
- Anthropic MCP-specifikation v1.2, säkerhetsöverväganden