Mabilis Lumaki ang MCP Ecosystem — Hindi ang Seguridad
Inilunsad ang Model Context Protocol noong huling bahagi ng 2024. Sa loob ng wala pang 18 buwan ay naging pamantayan na ito sa pagkonekta ng mga AI tool sa mga panlabas na sistema. Sa Marso 2026, sinasaklaw na ng ecosystem ang mga database connector, file server, GitHub bridge, Slack client, email tool, at daan-daang domain-specific na server.
Matarik ang kurba ng paglago. Ang larawan ng seguridad ay hindi.
Noong Marso 2026, mahigit 8,000 MCP server ang nakaupo sa pampublikong internet. Natuklasan ng mga mananaliksik ang 492 na walang authentication — walang API key, walang OAuth, walang IP filter. Maaaring tawagan sila ng anumang HTTP client. 36.7% ng mga na-sample na server ay bukas sa SSRF (Server-Side Request Forgery). Nangangahulugan ito na ang isang attacker na kumokontrol ng tool input ay maaaring maabot ang mga panloob na network resource.
Sa parehong panahon, 30+ CVE ang naihain sa loob ng 60 araw. Ang rate na iyon ay nagpapakita kung gaano kabago ang ecosystem at kung gaano ito tinatarget ng mga mananaliksik.
Bakit Lumilikha ng Panganib sa PII ang Protokol
Binibigyan ng MCP ang mga AI assistant ng kapangyarihang kumilos sa datos. Iyon din ang dahilan kung bakit ito ay isang panganib sa PII.
Kapag gumagamit ang isang developer ng Cursor o Claude Desktop na may database connector, ang AI ay sumusulat ng SQL mula sa simpleng teksto. Ang mga query na iyon ay nagbabalik ng tunay na row — mga pangalan, email, datos ng pagbabayad, o iba pang PII. Ang datos na iyon ay gumagalaw sa isang chain:
- Database server → context window ng AI assistant
- Context window → mga sistema ng log ng model provider
- Kasaysayan ng pag-uusap → lokal na makina ng developer
- Mga debug session → iba pang AI tool kapag nag-paste ang developer ng konteksto
Wala sa mga hakbang na ito ang isang paglabag. Ganoon gumagana ang sistema. Ngunit ang PII ay napupunta sa maraming lugar na hindi itinayo upang hawakain ito, madalay nang walang encryption sa pagitan ng server at AI client.
CVE-2026-25253 (CVSS 8.8), inilabas noong Pebrero 2026, ay nagpakita ng isang landas ng pag-atake. Maaaring mag-inject ang isang malisyosong endpoint ng mga nakatagong tagubilin sa mga tugon nito. Sinabi ng mga tagubiling iyon sa konektadong AI na kumuha ng datos mula sa iba pang aktibong tool. Ang isang developer na gumagamit ng masamang endpoint ng komunidad sa tabi ng kanilang sariling database connector ay maaaring tumagas ng buong database.
Ang 492 Zero-Auth Server
Ang 492 na bukas na server ay ibang problema mula sa CVE-2026-25253. Hindi sila na-hack. Nagkamali ang pag-setup sa kanila.
Karamihan ay nilayong tumakbo nang lokal. Inilantad ng isang tao ang mga ito sa pamamagitan ng port forwarding o isang cloud deploy na walang mga access control.
Ang madalas na nilalantad ng mga server na ito:
- Mga tool sa file system na may read access sa mga home folder
- Mga database connector na may mga live na credential sa config
- Mga email tool na nakatali sa mga tunay na inbox
- Mga tool sa code execution — arbitrary na code, walang auth, walang limitasyon
Halos tiyak na hindi nilayong ilantad ng mga developer ang mga ito. Ngunit ang Cursor at Claude Desktop ay kumokonekta sa anumang URL sa config. Walang built-in na pagsusuri para kung ang isang host ay lokal o pampubliko.
Ang Solusyon ng anonym.legal MCP
Ang istruktura ng pag-aayos para sa panganib ng PII sa mga pipeline ng tool ay mag-anonymize ng datos bago ito umabot sa anumang call na nagpapadala nito sa isang LLM. Ito ang ibinibigay ng anonym.legal MCP server.
Inilalantad nito ang 7 tool:
| Tool | Layunin |
|---|---|
analyze_text | Tukuyin ang mga PII entity at ibalik ang kanilang mga posisyon at uri |
anonymize_text | Alisin o i-pseudonymize ang natukoy na PII |
deanonymize_text | Baligtarin ang pseudonymization gamit ang iyong encryption key |
anonymize_batch | Iproseso ang maraming teksto sa isang call |
get_supported_entities | Ilista ang lahat ng 285+ uri ng entity para sa isang ibinigay na wika |
get_supported_languages | Ilista ang lahat ng 48 sinusuportahang wika |
health_check | I-verify ang koneksyon |
Kapag ang isang AI assistant ay may parehong anonym.legal server at isang database connector na naka-configure, maaaring ituro ng developer: "Bago magpakita ng anumang datos ng customer, tawagan ang anonymize_text sa resulta." Ang AI ang hahawak sa orchestration. Ang PII ay hindi kailanman umabot sa nakikitang output o kasaysayan ng pag-uusap sa nakikilalang anyo.
Setup ng Cursor IDE
Upang idagdag ang anonym.legal server sa Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Kapag naka-configure na, tanungin ang Cursor: "Suriin ang support ticket na ito para sa PII bago ko i-paste ito sa tracker." Tinatawagan ng Cursor ang analyze_text, ibinabalik ang listahan ng entity, at ikaw ang magpapasya kung ia-anonymize bago i-paste.
Setup ng Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Sa config na ito, maaaring mag-anonymize ang Claude Desktop ng anumang teksto bago ito isama sa mga tool call na ipinapadala sa iba pang server. Ang anonymization ay tumatakbo sa iyong session. Ang PII ay hindi kailanman umabot sa mga server ng Anthropic sa nakikilalang anyo.
Pagpapalakas ng Iyong Setup
Higit pa sa paggamit ng anonym.legal, ilapat ang mga hakbang na ito. Tingnan din ang aming pangkalahatang-ideya ng seguridad at sentro ng pagsunod.
I-audit ang iyong listahan ng tool. Suriin ang bawat entry sa iyong config. Para sa bawat isa, itanong: pinagkakatiwalaan mo ba ang operator? Alam mo ba kung anong datos ang maaari nitong maabot?
Mas piliin ang lokal kaysa sa remote. Ang mga lokal na server ay tumatakbo sa pamamagitan ng stdio. Walang network exposure ang nilikha nila. Gamitin ang mga remote na server lamang kapag walang lokal na opsyon.
Suriin ang authentication. Ang bawat remote na server ay dapat nangangailangan ng API key o OAuth token. Kung hindi, huwag gamitin ito sa tunay na datos ng gumagamit.
Paghiwalayin ang dev mula sa produksyon. Panatilihing hiwalay ang mga config para sa gawaing dev (datos ng pagsubok, walang PII) at anumang daloy na humahawak ng tunay na gumagamit.
I-enable ang audit logging. Kung sinusuportahan nito ang mga log, i-on ang mga ito. Alamin kung anong datos ang dumaan sa bawat call.
Tingnan ang aming pahina ng MCP feature para sa buong listahan ng mga uri ng entity at wika.
Ipinakita ng 30+ CVE sa loob ng 60 araw na ang protokol ay nasa aktibong pagmamatyag. Lalabas ang mga bagong bug. Ngunit ang pangunahing depensa — mag-anonymize bago umabot ang datos sa anumang LLM call — ay gumagana laban sa anumang partikular na CVE na darating.
I-configure ang anonym.legal server sa Cursor
Pinoproseso ng anonym.legal ang PII anonymization sa server-side gamit ang iyong encryption key. Ang pseudonymized na datos ay nababaligtad lamang gamit ang key na iyon. Inilathala ng anonym.legal, ISO 27001 sertipikado.
Mga Pinagkukunan
- Shodan MCP server exposure data, Marso 2026 — 8,000+ server, 492 zero-auth
- CVE-2026-25253, CVSS 8.8, cross-server injection sa pamamagitan ng Model Context Protocol
- Datos ng SSRF: security research scan ng mga pampublikong na-access na endpoint, Marso 2026
- Anthropic MCP specification v1.2, seksyon ng mga pagsasaalang-alang sa seguridad