Het Model Context Protocol heeft een beveiligingsprobleem dat niet zal verdwijnen.
Toen VentureBeat voor het eerst de MCP-kwetsbaarheden rapporteerde afgelopen oktoberde gegevens waren al alarmerend. Pynts zoektocht heeft aangetoond dat het inzetten van slechts 10 MCP-plug-ins een kans op exploitatie van 92% creëert. – met aanzienlijke risico’s van zelfs een enkele plug-in.
De belangrijkste fout is niet veranderd: MCP werd geleverd zonder verplichte authenticatie. De autorisatiekaders kwamen zes maanden na de wijdverbreide implementatie. Zoals Merritt Baer, hoofd beveiliging bij, zei Versleutel de AIwaarschuwde destijds: “MCP heeft dezelfde fout die we bij elke grote protocollancering hebben gezien: onveilige standaardinstellingen. Als we niet vanaf de eerste dag authenticatie en de minste privileges inbouwen, zullen we de komende tien jaar inbreuken elimineren.”
Drie maanden later is de schoonmaak al begonnen en het is erger dan verwacht.
Koppeling het veranderde het dreigingsmodel. De virale AI-persoonlijke assistent die in één nacht postvakken kan leegmaken en code kan schrijven, draait volledig op MCP. Elke ontwikkelaar die een Clawdbot op een VPS lanceerde zonder de beveiligingsdocumenten te lezen, stelde zijn bedrijf eenvoudigweg bloot aan het volledige aanvalsoppervlak van het protocol.
Itamar Golan had het voorzien. Het verkocht Onmiddellijke veiligheid NAAR SentinelEen voor een geschat op 250 miljoen dollar vorig jaar. Deze week plaatste hij een waarschuwing op
Hij overdrijft niet. Wanneer Knostico Bij het scannen van het internet vonden ze 1.862 blootgestelde MCP-servers zonder authenticatie. Ze testten er 119. Elke server reageerde zonder om inloggegevens te vragen.
Alles wat Clawdbot kan automatiseren, kunnen aanvallers in een wapen veranderen.
Drie CVE’s leggen dezelfde architectonische fout bloot
Kwetsbaarheden zijn geen randgevallen. Het zijn directe gevolgen van MCP-ontwerpbeslissingen. Hier volgt een korte beschrijving van de workflows die elk van de volgende CVE’s blootleggen:
-
CVE-2025-49596 (CVSS 9.4): De MCP Inspector van Anthropic heeft niet-geverifieerde toegang tussen de webinterface en de proxyserver blootgelegd, waardoor het hele systeem via een kwaadaardige webpagina kon worden gehackt.
-
CVE-2025-6514 (CVSS 9.6): Door commando-injectie in mcp-remote, een OAuth-proxy met 437.000 downloads, konden aanvallers de controle over systemen overnemen door verbinding te maken met een kwaadaardige MCP-server.
-
CVE-2025-52882 (CVSS 8.8): Populaire Claude Code-extensies hebben niet-geverifieerde WebSocket-servers blootgelegd, waardoor willekeurige toegang tot bestanden en code-uitvoering mogelijk is.
Drie kritieke kwetsbaarheden in zes maanden. Drie verschillende aanvalsvectoren. Eén hoofdoorzaak: MCP-authenticatie is altijd optioneel geweest en ontwikkelaars vonden dit niet nodig.
Het aanvalsoppervlak blijft zich uitbreiden
Precies heeft onlangs populaire MCP-implementaties geanalyseerd en ook verschillende kwetsbaarheden gevonden: 43% bevatte fouten in de opdrachtinjectie, 30% stond het onbeperkt ophalen van URL’s toe en 22% lekte bestanden buiten de beoogde mappen.
Jeff Pollard, Forrester-analist beschreef het risico in een blogpost: “Vanuit veiligheidsperspectief lijkt het een zeer effectieve manier om zonder barrières een nieuwe en zeer krachtige actor in je omgeving te integreren.”
Dat is niet overdreven. Een MCP-server met shell-toegang kan worden bewapend voor laterale verplaatsing, diefstal van inloggegevens en distributie van ransomware, allemaal veroorzaakt door een goed getimede injectie verborgen in een document waarvoor de AI is uitgenodigd om te verwerken.
Bekende kwetsbaarheden, oplossingen uitgesteld
Beveiligingsonderzoeker Johann Rehberger onthulde het afgelopen oktober een kwetsbaarheid voor bestandsexfiltratie. Tijdige injectie kan AI-agenten ertoe verleiden gevoelige bestanden naar accounts van aanvallers te verzenden.
Anthropic lanceerde deze maand Cowork; breidt op MCP gebaseerde agenten uit naar een breder, minder veiligheidsbewust publiek. Dezelfde kwetsbaarheid, en deze keer is het onmiddellijk te exploiteren. PromptArmor gedemonstreerd een kwaadaardig document dat de agent manipuleerde om gevoelige financiële gegevens te uploaden.
Gids voor antropische mitigatie: Gebruikers moeten letten op “verdachte handelingen die kunnen wijzen op een tijdige injectie.”
Olivia Moore, partner bij a16z, heeft een weekend Clawdbot gebruikt en de verbinding verbroken: “Je geeft een AI-agent toegang tot je accounts. Hij kan je berichten lezen, namens jou berichten verzenden, toegang krijgen tot je bestanden en code uitvoeren op je machine. Je moet echt begrijpen wat je autoriseert.”
De meeste gebruikers niet. De meeste ontwikkelaars ook niet. En het ontwerp van MCP heeft daar nooit om gevraagd.
Vijf acties voor veiligheidsleiders
-
Inventariseer nu uw MCP-blootstelling. Bij traditionele eindpuntdetectie worden knooppunt- of Python-processen gestart door legitieme applicaties. Het rapporteert ze niet als bedreigingen. Er zijn tools nodig die specifiek MCP-servers identificeren.
-
Beschouw authenticatie als verplicht. De MCP-specificatie beveelt OAuth 2.1 aan. De SDK bevat geen ingebouwde authenticatie. Op elke MCP-server die in contact komt met productiesystemen moet authenticatie worden afgedwongen op het moment van implementatie, en niet na het incident.
-
Beperk uw netwerkblootstelling. Bind MCP-servers aan de lokale host, tenzij externe toegang expliciet wordt aangevraagd en geverifieerd. De 1.862 blootgestelde servers die door Knostic zijn gedetecteerd, suggereren dat de meerderheid van de blootstellingen toevallig is.
-
Laten we aannemen dat er tijdige injectie-aanvallen komen en succesvol zullen zijn. MCP-servers nemen de explosieradius over van de tools die ze omhullen. Omvat de server cloudreferenties, bestandssystemen of implementatiepijplijnen? Ontwerp toegangscontroles in de veronderstelling dat de agent wordt gecompromitteerd.
-
Het afdwingen van menselijke goedkeuring voor risicovolle acties. Vereis expliciete bevestiging voordat agenten externe e-mails verzenden, gegevens verwijderen of toegang krijgen tot gevoelige informatie. Behandel de agent als een snelle maar letterlijke jonge medewerker die precies doet wat je zegt, ook als je het niet meent.
De kloof op het gebied van bestuur is zeer open
Beveiligingsleveranciers kwamen snel in actie om MCP-risico’s te gelde te maken, maar de meeste bedrijven handelden niet zo snel.
De acceptatie van Clawdbot is in het vierde kwartaal van 2025 explosief toegenomen. De meeste beveiligingsroadmaps voor 2026 omvatten geen enkele controle door AI-agenten. De kloof tussen het enthousiasme van ontwikkelaars en beveiligingsbeheer wordt gemeten in maanden. Het venster voor aanvallers staat wijd open.
Golan heeft gelijk. Het zal een slechte zaak zijn. De vraag is of organisaties hun blootstelling aan het MCP veilig zullen stellen voordat iemand anders er misbruik van maakt.
