MCP سرور سیکیورٹی 2026: 8,000 بے نقاب، 492 بغیر کسی تصدیق کے

MCP ماحولیاتی نظام تیزی سے بڑھا — سیکیورٹی نہیں بڑھی

Model Context Protocol 2024 کے اواخر میں شروع ہوا۔ 18 مہینوں سے کم میں یہ AI ٹولز کو باہری نظاموں سے جوڑنے کا معیاری طریقہ بن گیا۔ مارچ 2026 تک، ماحولیاتی نظام ڈیٹا بیس کنیکٹر، فائل سرورز، GitHub پل، Slack کلائنٹ، ای میل ٹولز، اور سینکڑوں ڈومین مخصوص سرورز کا احاطہ کرتا ہے۔

ترقی کا منحنی خطوط کھڑا ہے۔ سیکیورٹی کی تصویر نہیں ہے۔

مارچ 2026 تک، 8,000 سے زیادہ MCP سرورز عوامی انٹرنیٹ پر ہیں۔ محققین نے 492 میں صفر تصدیق پائی — کوئی API کلید نہیں، کوئی OAuth نہیں، کوئی IP فلٹر نہیں۔ کوئی بھی HTTP کلائنٹ انہیں کال کر سکتا ہے۔ 36.7% نمونے کے سرورز SSRF (Server-Side Request Forgery) کے لیے کھلے ہیں۔ اس کا مطلب ہے ایک حملہ آور جو ٹول ان پٹ کنٹرول کرتا ہے اندرونی نیٹ ورک وسائل تک پہنچ سکتا ہے۔

اسی عرصے میں، 60 دنوں میں 30 سے زیادہ CVEs درج کیے گئے۔ وہ شرح ظاہر کرتی ہے کہ ماحولیاتی نظام کتنا نیا ہے اور یہ محقق کی توجہ کتنی پاتا ہے۔

پروٹوکول PII خطرہ کیوں پیدا کرتا ہے

MCP AI اسسٹنٹس کو ڈیٹا پر کام کرنے کی طاقت دیتا ہے۔ یہی وجہ ہے کہ یہ PII خطرہ بھی ہے۔

جب ایک ڈویلپر ڈیٹا بیس کنیکٹر کے ساتھ Cursor یا Claude Desktop استعمال کرتا ہے، AI سادہ متن سے SQL لکھتا ہے۔ وہ queries حقیقی صفیں واپس کرتی ہیں — نام، ای میل، ادائیگی کا ڈیٹا، یا دیگر PII۔ وہ ڈیٹا ایک زنجیر سے گزرتا ہے:

1. ڈیٹا بیس سرور → AI اسسٹنٹ کی context window
2. Context window → ماڈل فراہم کنندہ کے لاگ سسٹم
3. گفتگو کی تاریخ → ڈویلپر کی مقامی مشین
4. ڈیبگ سیشن → دوسرے AI ٹولز جب ڈویلپر سیاق و سباق پیسٹ کرتا ہے

ان میں سے کوئی بھی قدم خلاف ورزی نہیں ہے۔ یہی نظام کیسے کام کرتا ہے۔ لیکن PII ایسی متعدد جگہوں پر پہنچتی ہے جو اسے رکھنے کے لیے نہیں بنی تھیں، اکثر سرور اور AI کلائنٹ کے درمیان بغیر انکرپشن کے۔

CVE-2026-25253 (CVSS 8.8)، فروری 2026 میں شائع، ایک حملے کا راستہ دکھایا۔ ایک بدنیت endpoint اپنے جوابات میں چھپی ہدایات انجیکٹ کر سکتی تھی۔ وہ ہدایات جڑے AI کو دوسرے فعال ٹولز سے ڈیٹا کھینچنے کا حکم دیتی تھیں۔ ایک ڈویلپر جو اپنے ڈیٹا بیس کنیکٹر کے ساتھ ایک خراب community endpoint استعمال کر رہا ہے پورے ڈیٹا بیس کو لیک کر سکتا ہے۔

492 زیرو-آتھ سرورز

492 کھلے سرورز CVE-2026-25253 سے مختلف مسئلہ ہیں۔ انہیں ہیک نہیں کیا گیا۔ انہیں غلط ترتیب دیا گیا۔

زیادہ تر مقامی طور پر چلنے کے لیے تھے۔ کسی نے انہیں port forwarding یا بغیر access controls کے cloud deploy کے ذریعے بے نقاب کیا۔

یہ سرورز اکثر کیا ظاہر کرتے ہیں:

• گھریلو فولڈروں تک read access کے ساتھ فائل سسٹم ٹولز
• config میں لائیو اعتبارناموں کے ساتھ ڈیٹا بیس کنیکٹر
• حقیقی inboxes سے جڑے ای میل ٹولز
• کوڈ execution ٹولز — خودمختار کوڈ، کوئی auth نہیں، کوئی حد نہیں

ڈویلپرز نے تقریباً یقیناً انہیں بے نقاب کرنے کا ارادہ نہیں کیا۔ لیکن Cursor اور Claude Desktop config میں کسی بھی URL سے جڑتے ہیں۔ یہ چیک کرنے کا کوئی بلٹ ان طریقہ نہیں ہے کہ host مقامی ہے یا عوامی۔

anonym.legal MCP حل

ٹول پائپ لائنوں میں PII خطرے کے لیے ساختی حل یہ ہے کہ ڈیٹا کو کسی بھی کال تک پہنچنے سے پہلے گمنام کریں جو اسے LLM کو بھیجتی ہے۔ یہی وہ ہے جو anonym.legal MCP سرور فراہم کرتا ہے۔

یہ 7 ٹولز ظاہر کرتا ہے:

جب ایک AI اسسٹنٹ کے پاس anonym.legal سرور اور ایک ڈیٹا بیس کنیکٹر دونوں ترتیب دیے گئے ہوں، ڈویلپر ہدایت دے سکتا ہے: "کوئی بھی کسٹمر ڈیٹا دکھانے سے پہلے، نتیجے پر anonymize_text کال کریں۔" AI orchestration سنبھالتا ہے۔ PII کبھی بھی قابل شناخت شکل میں مرئی آؤٹ پٹ یا گفتگو کی تاریخ تک نہیں پہنچتی۔

Cursor IDE سیٹ اپ

Cursor میں anonym.legal سرور شامل کرنے کے لیے:

// .cursor/mcp.json
{
  "mcpServers": {
    "anonym-legal": {
      "url": "https://anonym.legal/mcp",
      "transport": "sse",
      "headers": {
        "Authorization": "Bearer YOUR_API_KEY"
      }
    }
  }
}

ترتیب دینے کے بعد، Cursor سے پوچھیں: "اس support ticket کو tracker میں پیسٹ کرنے سے پہلے PII کا تجزیہ کریں۔" Cursor analyze_text کال کرتا ہے، ہستی کی فہرست واپس کرتا ہے، اور آپ فیصلہ کرتے ہیں کہ پیسٹ کرنے سے پہلے گمنام کرنا ہے یا نہیں۔

Claude Desktop سیٹ اپ

// claude_desktop_config.json
{
  "mcpServers": {
    "anonym-legal": {
      "command": "npx",
      "args": ["-y", "@anonym-legal/mcp-server"],
      "env": {
        "ANONYM_API_KEY": "YOUR_API_KEY"
      }
    }
  }
}

اس config کے ساتھ، Claude Desktop کسی بھی متن کو دوسرے سرورز کو بھیجے گئے ٹول کالز میں شامل کرنے سے پہلے گمنام کر سکتا ہے۔ گمنامی آپ کے سیشن میں چلتی ہے۔ PII کبھی بھی قابل شناخت شکل میں Anthropic کے سرورز تک نہیں پہنچتی۔

اپنا سیٹ اپ مضبوط کریں

anonym.legal استعمال کرنے کے علاوہ، یہ اقدامات لاگو کریں۔ ہمارا سیکیورٹی جائزہ اور تعمیل مرکز بھی دیکھیں۔

اپنی ٹول فہرست کا آڈٹ کریں۔ اپنی config میں ہر اندراج چیک کریں۔ ہر ایک کے لیے پوچھیں: کیا آپ آپریٹر پر بھروسہ کرتے ہیں؟ کیا آپ جانتے ہیں کہ یہ کون سے ڈیٹا تک پہنچ سکتا ہے؟

remote پر مقامی کو ترجیح دیں۔ مقامی سرورز stdio کے ذریعے چلتے ہیں۔ وہ کوئی نیٹ ورک exposure نہیں بناتے۔ remote سرورز صرف اس وقت استعمال کریں جب کوئی مقامی آپشن نہ ہو۔

تصدیق چیک کریں۔ ہر remote سرور کو API کلید یا OAuth ٹوکن کی ضرورت ہونی چاہیے۔ اگر نہیں ہے، تو اسے حقیقی صارف ڈیٹا کے ساتھ استعمال نہ کریں۔

dev کو پروڈکشن سے الگ کریں۔ dev کام (ٹیسٹ ڈیٹا، کوئی PII نہیں) اور کسی بھی بہاؤ کے لیے جو حقیقی صارفین کو چھوتا ہو الگ configs رکھیں۔

آڈٹ لاگنگ فعال کریں۔ اگر یہ لاگ سپورٹ کرتا ہے، انہیں آن کریں۔ جانیں کہ کون سا ڈیٹا ہر کال سے گزرا۔

ہستی کی اقسام اور زبانوں کی مکمل فہرست کے لیے ہمارا MCP فیچرز صفحہ دیکھیں۔

60 دنوں میں 30 سے زیادہ CVEs ظاہر کرتے ہیں کہ پروٹوکول فعال جانچ کے زیر اثر ہے۔ نئی bugs ظاہر ہوں گی۔ لیکن بنیادی دفاع — کسی بھی LLM کال تک ڈیٹا پہنچنے سے پہلے گمنام کریں — اگلے کسی بھی مخصوص CVE کے خلاف کام کرتا ہے۔

Cursor میں anonym.legal سرور ترتیب دیں →

anonym.legal آپ کی انکرپشن کلید استعمال کرتے ہوئے سرور سائڈ PII گمنامی پروسیس کرتا ہے۔ Pseudonymized ڈیٹا صرف اس کلید سے الٹا ہو سکتا ہے۔ anonym.legal کی طرف سے شائع، ISO 27001 تصدیق شدہ۔

ذرائع

• Shodan MCP سرور exposure ڈیٹا، مارچ 2026 — 8,000 سے زیادہ سرورز، 492 زیرو-آتھ
• CVE-2026-25253، CVSS 8.8، Model Context Protocol کے ذریعے cross-server injection
• SSRF ڈیٹا: عوامی طور پر قابل رسائی endpoints کا سیکیورٹی ریسرچ اسکین، مارچ 2026
• Anthropic MCP specification v1.2، سیکیورٹی غور و فکر کا حصہ