Hệ sinh thái MCP phát triển nhanh — Bảo mật không theo kịp
Model Context Protocol, do Anthropic giới thiệu cuối năm 2024, đã trở thành tiêu chuẩn thực tế để kết nối AI assistant với các công cụ bên ngoài chỉ trong chưa đầy 18 tháng. Tính đến tháng 3 năm 2026, hệ sinh thái MCP bao gồm các bộ kết nối cơ sở dữ liệu, server hệ thống file, tích hợp GitHub, cầu nối Slack, client email và hàng trăm server công cụ chuyên dụng.
Đường cong áp dụng rất dốc. Tình trạng bảo mật thì không.
Tính đến tháng 3 năm 2026, hơn 8.000 MCP server có thể truy cập công khai trên internet. Các nhà nghiên cứu bảo mật quét các endpoint MCP tìm thấy 492 server không có xác thực — không có API key, không OAuth, không hạn chế IP. Mọi HTTP client đều có thể gọi công cụ của chúng. 36,7% MCP server được lấy mẫu dễ bị tấn công SSRF (Server-Side Request Forgery), nghĩa là kẻ tấn công kiểm soát đầu vào công cụ có thể chuyển hướng từ MCP server đến tài nguyên mạng nội bộ.
Cùng kỳ, hơn 30 CVE đã được ghi nhận chống lại các triển khai MCP trong 60 ngày — tốc độ phản ánh cả sự non trẻ của hệ sinh thái và mức độ chú ý từ nhà nghiên cứu.
Tại sao MCP tạo ra rủi ro PII
MCP được thiết kế để cho AI assistant khả năng thực hiện hành động và truy cập dữ liệu. Đó cũng chính xác là lý do nó là vector rủi ro PII.
Khi lập trình viên dùng Cursor hoặc Claude Desktop với bộ kết nối cơ sở dữ liệu MCP, AI assistant tạo ra truy vấn SQL từ yêu cầu ngôn ngữ tự nhiên. Những truy vấn đó trả về dữ liệu thực — có thể bao gồm tên khách hàng, địa chỉ email, thông tin thanh toán hoặc PII khác. Dữ liệu đó chảy qua:
- Từ MCP server cơ sở dữ liệu → đến cửa sổ ngữ cảnh của AI assistant
- Từ cửa sổ ngữ cảnh → đến hạ tầng log của nhà cung cấp mô hình
- Từ lịch sử cuộc trò chuyện → đến máy local của lập trình viên
- Từ các phiên debug → đến các AI assistant khác khi lập trình viên dán ngữ cảnh
Không có bước nào trong số này nhất thiết là vi phạm. Đây là hành vi dự định của MCP. Nhưng kết quả là PII đi qua nhiều hệ thống không được thiết kế để xử lý nó, thường không có mã hóa khi truyền giữa MCP server và AI client.
CVE-2026-25253 (CVSS 8,8), công bố tháng 2 năm 2026, cho thấy một vector tấn công cụ thể: MCP server được cấu hình độc hại có thể inject hướng dẫn vào phản hồi lệnh gọi công cụ, khiến AI assistant kết nối đánh cắp dữ liệu từ các MCP server khác đang kết nối. Lập trình viên kết nối với MCP server cộng đồng bị xâm phạm trong khi cũng có MCP server cơ sở dữ liệu của họ đang hoạt động có thể lộ toàn bộ cơ sở dữ liệu cho kẻ tấn công.
492 server không có xác thực
492 MCP server không có xác thực đại diện cho rủi ro khác với CVE-2026-25253. Đây không phải là server hợp pháp bị xâm phạm — chúng đơn giản là bị cấu hình sai. Nhiều server có vẻ là công cụ lập trình viên dự định chạy chỉ cục bộ nhưng bị phơi lộ qua chuyển tiếp cổng hoặc triển khai đám mây không có kiểm soát truy cập.
Những server này thường phơi lộ:
- Công cụ hệ thống file với quyền đọc thư mục home
- Bộ kết nối cơ sở dữ liệu với thông tin xác thực production nhúng trong cấu hình
- MCP server email có quyền truy cập hộp thư doanh nghiệp
- Môi trường thực thi code — thực thi code tùy ý, không xác thực, không giới hạn
Các lập trình viên xây dựng những server này gần như chắc chắn không có ý định phơi lộ chúng. Nhưng Cursor và Claude Desktop kết nối đến bất kỳ URL nào trong cấu hình — không phân biệt máy chủ cục bộ hay được phơi lộ công khai.
Giải pháp MCP của anonym.legal
Giải pháp cấu trúc cho rủi ro PII trong pipeline MCP là ẩn danh dữ liệu trước khi nó đến bất kỳ lệnh gọi công cụ nào gửi nó cho LLM. Đây là điều MCP server anonym.legal cung cấp.
Server phơi lộ 7 công cụ:
| Công cụ | Mục đích |
|---|---|
analyze_text | Phát hiện thực thể PII và trả về vị trí và loại của chúng |
anonymize_text | Loại bỏ hoặc giả danh PII đã phát hiện |
deanonymize_text | Đảo ngược giả danh bằng khóa mã hóa của bạn |
anonymize_batch | Xử lý nhiều văn bản trong một lệnh gọi |
get_supported_entities | Liệt kê tất cả hơn 285 loại thực thể cho ngôn ngữ nhất định |
get_supported_languages | Liệt kê tất cả 48 ngôn ngữ được hỗ trợ |
health_check | Xác minh kết nối |
Khi AI assistant có cả MCP server anonym.legal và MCP server cơ sở dữ liệu được cấu hình, lập trình viên có thể hướng dẫn: "Trước khi hiển thị dữ liệu khách hàng từ cơ sở dữ liệu, hãy gọi anonymize_text trên kết quả." AI xử lý điều phối — và PII không bao giờ đến đầu ra hiển thị hay lịch sử cuộc trò chuyện ở dạng có thể nhận dạng.
Tích hợp Cursor IDE
Để thêm MCP server anonym.legal vào Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Sau khi cấu hình, bạn có thể hỏi Cursor: "Phân tích ticket hỗ trợ này tìm PII trước khi tôi dán vào issue tracker." Cursor gọi analyze_text, trả về danh sách thực thể, và bạn quyết định có ẩn danh trước khi dán không.
Tích hợp Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Với cấu hình này, Claude Desktop có thể ẩn danh bất kỳ văn bản nào bạn chia sẻ trước khi đưa vào lệnh gọi công cụ gửi đến MCP server khác. Việc ẩn danh xảy ra trong phiên Claude Desktop của bạn — PII không bao giờ đến server của Anthropic ở dạng có thể nhận dạng.
Tăng cường bảo mật thiết lập MCP của bạn
Ngoài việc dùng anonym.legal, hãy áp dụng các bước tăng cường sau. Xem thêm tổng quan bảo mật và trung tâm tuân thủ của chúng tôi.
Kiểm toán danh sách server. Xem xét từng MCP server trong cấu hình Cursor/Claude Desktop. Với mỗi server: bạn có tin tưởng người vận hành không? Bạn có biết dữ liệu nào nó có thể truy cập không?
Ưu tiên server cục bộ hơn server từ xa. Server MCP cục bộ (kết nối qua stdio) không tạo ra phơi lộ mạng. Chỉ dùng server từ xa khi không có lựa chọn cục bộ.
Kiểm tra xác thực. Mọi MCP server từ xa bạn kết nối đều phải yêu cầu API key hoặc OAuth token. Nếu không, đừng dùng nó với ngữ cảnh chứa PII.
Tách biệt dev và production. Dùng cấu hình MCP server riêng biệt cho công việc dev (dữ liệu tổng hợp, không có PII) và bất kỳ luồng nào chạm đến dữ liệu production.
Kích hoạt ghi log kiểm toán. Nếu server hỗ trợ log, hãy bật lên. Biết dữ liệu nào đã đi qua lệnh gọi công cụ nào.
Xem trang tính năng MCP để biết danh sách đầy đủ loại thực thể và ngôn ngữ.
Hơn 30 CVE trong 60 ngày cho thấy bảo mật giao thức đang được nghiên cứu tích cực. Các lỗ hổng mới sẽ được công bố. Nhưng biện pháp bảo vệ cốt lõi — ẩn danh trước khi dữ liệu đến lệnh gọi LLM — vẫn hiệu quả bất kể CVE cụ thể nào được phát hiện tiếp theo.
Cấu hình anonym.legal MCP trong Cursor →
anonym.legal xử lý ẩn danh PII phía máy chủ bằng khóa mã hóa của bạn. Dữ liệu giả danh chỉ có thể đảo ngược với khóa đó. Phát hành bởi anonym.legal, được chứng nhận ISO 27001.
Nguồn
- Dữ liệu phơi lộ MCP server Shodan, tháng 3 năm 2026 — hơn 8.000 server, 492 không xác thực
- CVE-2026-25253, CVSS 8,8, lỗ hổng injection đa server qua Model Context Protocol
- Dữ liệu SSRF: quét nghiên cứu bảo mật các endpoint MCP có thể truy cập công khai, tháng 3 năm 2026
- Đặc tả MCP của Anthropic v1.2, phần lưu ý bảo mật