anonym.legal
Bloga DönAI Güvenliği

MCP Sunucu Güvenliği 2026: 8.000 Açık, 492'sinde Kimlik Doğrulama Yok

8.000'den fazla Model Context Protocol sunucusu herkese açık. 492'sinde kimlik doğrulama sıfır. %36,7'si SSRF'ye karşı savunmasız. MCP araçlarınızda KKB'yi koruyun.

March 16, 2026article.updated: June 14, 20267 dk okuma
MCP serverModel Context ProtocolAI securityPII protectionCursorClaude Desktopdeveloper security

MCP Ekosistemi Patladı — Güvenlik Ayak Uyduramadı

Anthopic'in 2024 sonunda tanıttığı Model Context Protocol, 18 aydan kısa sürede yapay zeka asistanlarını harici araçlara bağlamak için fiili standart haline geldi. Mart 2026 itibarıyla MCP ekosistemi veritabanı konektörlerini, dosya sistemi sunucularını, GitHub entegrasyonlarını, Slack köprülerini, e-posta istemcilerini ve yüzlerce alana özgü araç sunucusunu kapsıyor.

Benimseme eğrisi dik. Güvenlik durumu değil.

Mart 2026 itibarıyla internette 8.000'den fazla MCP sunucusu herkese erişilebilir durumda. MCP uç noktalarını tarayan güvenlik araştırmacıları kimlik doğrulaması sıfır olan 492 sunucu buldu — API anahtarı yok, OAuth yok, IP kısıtlaması yok. Herhangi bir HTTP istemcisi araçlarını çağırabilir. Örneklenen MCP sunucularının %36,7'si SSRF'ye (Sunucu Taraflı İstek Sahteciliği) karşı savunmasız; bu, araç girdisini kontrol eden bir saldırganın MCP sunucusundan dahili ağ kaynaklarına geçiş yapabileceği anlamına geliyor.

Aynı dönemde 60 günde 30'dan fazla CVE, MCP uygulamalarına karşı dosyalandı — bu oran hem ekosistemin olgunlaşmamışlığını hem de araştırmacı ilgisinin yoğunluğunu yansıtıyor.

MCP Neden KKB Riski Yaratıyor

MCP, yapay zeka asistanlarına eylem alma ve verilere erişme yeteneği vermek için tasarlandı. Aynı zamanda onu bir KKB risk vektörü haline getiren de bu.

Bir geliştirici Cursor veya Claude Desktop'ı MCP veritabanı konektörüyle kullandığında, yapay zeka asistanı kullanıcının doğal dil isteğine göre SQL sorguları üretiyor. Bu sorgular gerçek veri döndürüyor — müşteri adları, e-posta adresleri, ödeme bilgileri veya diğer KKB içerebilir. Bu veri şu şekilde akıyor:

  1. Veritabanı MCP sunucusundan → yapay zeka asistanının bağlam penceresine
  2. Bağlam penceresinden → potansiyel olarak model sağlayıcısının günlük altyapısına
  3. Konuşma geçmişinden → geliştiricinin yerel makinesine
  4. Hata ayıklama oturumlarından → geliştirici bağlamı yapıştırdığında diğer yapay zeka asistanlarına

Bu adımların hiçbiri zorunlu olarak bir ihlal içermiyor. MCP'nin amaçlanan davranışı bunlar. Ancak sonuç, KKB'nin bunu işlemek için tasarlanmamış birden fazla sistemde dolaşması ve pek çok uygulamada MCP sunucusu ile yapay zeka istemcisi arasında şifrelemesiz iletilmesi.

CVE-2026-25253 (CVSS 8,8), Şubat 2026'da açıklandı ve belirli bir saldırıyı gösterdi: kötü niyetli yapılandırılmış bir MCP sunucusu, araç çağrısı yanıtlarına bağlı yapay zeka asistanının diğer bağlı MCP sunucularından veri sızdırmasına neden olan talimatlar enjekte edebiliyordu. Tehlikeye girmiş bir topluluk MCP sunucusuna bağlanan ve veritabanı MCP sunucusu aktif olan bir geliştirici, saldırgana tüm veritabanını açığa çıkarabilir.

Kimlik Doğrulaması Sıfır Olan 492 Sunucu

Kimlik doğrulaması olmayan 492 MCP sunucusu, CVE-2026-25253'ten farklı bir risk temsil ediyor. Bunlar tehlikeye girmiş meşru sunucular değil — sadece yanlış yapılandırılmış. Pek çoğu yerel kullanım için tasarlanmış ancak erişim kontrolsüz port yönlendirme veya bulut dağıtımı yoluyla açığa çıkan geliştirici araçları gibi görünüyor.

Bu sunucuların yaygın olarak açığa çıkardıkları:

  • Ana dizinlere okuma erişimi olan dosya sistemi araçları
  • Yapılandırmaya gömülü prodüksiyon kimlik bilgileri olan veritabanı konektörleri
  • Kurumsal gelen kutularına erişimi olan e-posta MCP sunucuları
  • Kod yürütme ortamları (en tehlikelisi — kimlik doğrulama olmadan keyfi kod yürütme)

Bu sunucuları oluşturan geliştiriciler neredeyse kesinlikle onları herkese açık yapmayı amaçlamamıştı. Ancak Cursor ve Claude Desktop, localhost MCP sunucusu ile herkese açık bir sunucu arasında ayrım yapmıyor — yapılandırmalarında kullanıcının sağladığı URL'ye bağlanıyorlar.

anonym.legal MCP Çözümü

MCP hatlarındaki KKB riski için yapısal düzeltme, verileri bir LLM'ye gönderen herhangi bir araç çağrısına ulaşmadan önce anonimleştirmektir. anonym.legal MCP sunucusunun sağladığı bu.

Sunucu 7 araç sunuyor:

AraçAmaç
`analyze_text`KKB varlıklarını tespit et ve konumlarını ve türlerini döndür
`anonymize_text`Tespit edilen KKB'yi ayıkla veya takma adlandır
`deanonymize_text`Şifreleme anahtarınızı kullanarak takma adlandırmayı tersine çevir
`anonymize_batch`Tek çağrıda birden fazla metni işle
`get_supported_entities`Verilen dil için 285'ten fazla varlık türünü listele
`get_supported_languages`Desteklenen 48 dili listele
`health_check`Bağlantıyı doğrula

Bir yapay zeka asistanının hem anonym.legal MCP sunucusu hem de veritabanı MCP sunucusu yapılandırılmış olduğunda, geliştirici şunu söyleyebilir: "Veritabanından herhangi bir müşteri verisi görüntülemeden önce sonuç üzerinde anonymize_text'i çağır." Yapay zeka orkestrasyonu üstlenir — ve KKB, modelin görünür çıktısına veya konuşma geçmişine asla tanımlanabilir biçimde ulaşmaz.

Cursor IDE Entegrasyonu

Cursor'a anonym.legal MCP sunucusu eklemek için:

```json // .cursor/mcp.json { "mcpServers": { "anonym-legal": { "url": "https://anonym.legal/mcp", "transport": "sse", "headers": { "Authorization": "Bearer API_ANAHTARINIZ" } } } } ```

Yapılandırıldıktan sonra Cursor'a şunu sorabilirsiniz: "Sorun takip sistemine yapıştırmadan önce bu destek biletini KKB açısından analiz et." Cursor `analyze_text`'i çağırır, varlık listesini döndürür ve yapıştırmadan önce anonimleştirmeyi isteyip istemediğinize siz karar verebilirsiniz.

Claude Desktop Entegrasyonu

```json // claude_desktop_config.json { "mcpServers": { "anonym-legal": { "command": "npx", "args": ["-y", "@anonym-legal/mcp-server"], "env": { "ANONYM_API_KEY": "API_ANAHTARINIZ" } } } } ```

Bu yapılandırmayla Claude Desktop, diğer MCP sunucularına gönderilen araç çağrılarına dahil etmeden önce paylaştığınız herhangi bir metni anonimleştirebilir. Anonimleştirme, Claude Desktop oturumunuzda istemci tarafında gerçekleşir — KKB, Anthropic'in sunucularına asla tanımlanabilir biçimde ulaşmaz.

MCP Kurulumunuzu Güçlendirme

anonym.legal MCP kullanmanın ötesinde, MCP yapılandırmanıza şu güçlendirme adımlarını uygulayın:

Sunucu listenizi denetleyin. Cursor/Claude Desktop yapılandırmanızdaki her MCP sunucusunu gözden geçirin. Her biri için operatöre güvendiğinizi ve hangi verilere erişebildiğini anladığınızı doğrulayın.

Yerel sunucuları uzaktan olanlara tercih edin. Yerel MCP sunucuları (HTTP yerine stdio aracılığıyla bağlanan) ağ maruziyeti yaratmaz. Yalnızca yerel alternatif olmadığında uzak sunucuları kullanın.

Kimlik doğrulamayı kontrol edin. Bağlandığınız her uzak MCP sunucusu bir API anahtarı veya OAuth token'ı gerektirmelidir. Gerektirmiyorsa KKB içeren bağlamlarda kullanmayın.

Geliştirme ve prodüksiyonu ayırın. Geliştirme çalışmaları için ayrı MCP sunucu yapılandırmaları kullanın (sentetik veri, KKB yok) ve prodüksiyon verilerine dokunan iş akışlarından ayrı tutun.

Araç çağrısı günlüklerini izleyin. MCP sunucunuz denetim günlüklerini destekliyorsa etkinleştirin. Hangi verinin hangi araç çağrısından geçtiğini bilin.

60 günde 30'dan fazla CVE, MCP güvenliğinin aktif olarak araştırıldığına işaret ediyor. Yeni güvenlik açıkları açıklanacak. Yapısal savunma — herhangi bir LLM'ye dokunan bir araç çağrısına ulaşmadan önce anonimleştirme — hangi özel CVE'nin keşfedileceğinden bağımsız olarak etkili olmaya devam ediyor.

Cursor'da anonym.legal MCP'yi yapılandırın →

Kaynaklar:

  • Shodan MCP sunucu maruziyeti verileri, Mart 2026 — 8.000'den fazla sunucu, kimlik doğrulaması sıfır olan 492
  • CVE-2026-25253, CVSS 8,8, MCP çapraz sunucu enjeksiyonu güvenlik açığı
  • SSRF güvenlik açığı verileri: herkese erişilebilir MCP uç noktalarının güvenlik araştırması taraması, Mart 2026
  • Anthropic MCP spesifikasyonu v1.2, güvenlik değerlendirmeleri bölümü

İlgili Makaleler

AI Güvenliği

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Güvenliği

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Güvenliği

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.