Il Model Context Protocol presenta un problema di sicurezza che non verrà risolto.
Quando VentureBeat ha segnalato per la prima volta le vulnerabilità di MCP lo scorso ottobre, i dati erano già allarmanti. La ricerca di Pynt ha dimostrato che l’implementazione di soli 10 plugin MCP creava una probabilità di sfruttamento del 92%. — ci sono seri rischi anche da un singolo plugin.
Il difetto fondamentale rimane invariato: MCP viene inviato senza autenticazione obbligatoria. I quadri di autorizzazione sono arrivati sei mesi dopo l’implementazione diffusa. Merritt Baer come capo della sicurezza Crittografia AIAll’epoca aveva avvertito: "MCP commette lo stesso errore che vediamo in ogni importante implementazione di protocolli: impostazioni predefinite non sicure. Se non integriamo l’autenticazione e i privilegi minimi fin dal primo giorno, riusciremo a eliminare le violazioni per il prossimo decennio."
Tre mesi dopo, la pulizia è già iniziata e la situazione è peggiore del previsto.
Frizione Ha cambiato il modello di minaccia. L’assistente AI personale virale in grado di pulire le caselle di posta e scrivere codice durante la notte funziona interamente su MCP. Qualsiasi sviluppatore che esegue Clawdbot su un VPS senza leggere la documentazione sulla sicurezza ha esposto la propria azienda all’intera superficie di attacco del protocollo.
Itamar Golan lo aveva previsto. venduto Sicurezza veloce con SentinelOne Si stima che l’anno scorso siano stati 250 milioni di dollari. Questa settimana ha emesso un avviso su X: "Il disastro sta arrivando. Migliaia di Clawdbot sono attualmente attivi su VPS con porte aperte su Internet e zero autenticazione. Diventerà una cosa brutta."
Non sta esagerando. Quando knostico Analizzando Internet, hanno scoperto che 1.862 server MCP erano stati esposti senza autenticazione. Ne hanno testati 119. Ogni server ha risposto senza richiedere credenziali.
Tutto ciò che Clawdbot può automatizzare, gli aggressori possono trasformarlo in un’arma.
Tre CVE espongono lo stesso difetto architettonico
Le vulnerabilità non sono casi limite. Questi sono i risultati diretti delle decisioni di progettazione di MCP. Di seguito è riportata una breve descrizione dei flussi di lavoro che espongono ciascuno dei seguenti CVE:
-
CVE-2025-49596 (CVSS 9.4): il controller MCP di Anthropic ha esposto l’accesso non autenticato tra l’interfaccia utente Web e il server proxy, consentendo la compromissione dell’intero sistema tramite una pagina Web dannosa.
-
CVE-2025-6514 (CVSS 9.6): l’iniezione di comandi in mcp-remote, un proxy OAuth con 437.000 download, ha consentito agli aggressori di compromettere i sistemi collegandosi a un server MCP dannoso.
-
CVE-2025-52882 (CVSS 8.8): le estensioni popolari di Claude Code espongono server WebSocket non autenticati, consentendo l’accesso arbitrario ai file e l’esecuzione del codice.
Tre vulnerabilità critiche in sei mesi. Tre diversi vettori di attacco. Uno dei motivi principali: l’autenticazione di MCP è sempre stata facoltativa e gli sviluppatori consideravano questa opzione ridondante.
La superficie d’attacco continua ad espandersi
ugualmente ha recentemente analizzato le applicazioni MCP più diffuse e ha riscontrato anche diverse vulnerabilità: il 43% conteneva difetti di command injection, il 30% consentiva il recupero illimitato di URL e il 22% file trapelati al di fuori delle directory previste.
Jeff Pollard, analista di Forrester Ha spiegato il rischio in un post sul blog: "Dal punto di vista della sicurezza, sembra un modo molto efficace per inserire un nuovo attore molto potente nel tuo ambiente senza barriere."
Questa non è un’esagerazione. Un server MCP con accesso alla shell può essere utilizzato come arma per movimenti laterali, furto di credenziali e distribuzione di ransomware; il tutto innescato da una rapida iniezione nascosta in un documento che l’IA è chiamata a elaborare.
Vulnerabilità note, correzioni differite
ricercatore di sicurezza Johann Rehberger ha spiegato Lo scorso ottobre è stata rivelata una vulnerabilità legata all’esfiltrazione di file. L’iniezione rapida può indurre gli agenti di intelligenza artificiale a trasferire file sensibili agli account degli aggressori.
Anthropic ha lanciato Cowork questo mese; Estende gli agenti basati su MCP a un pubblico più ampio e meno attento alla sicurezza. È la stessa vulnerabilità e questa volta può essere sfruttata istantaneamente. PromptArmor mostrato Un documento dannoso che indirizza l’intermediario a caricare dati finanziari sensibili.
Guida alla mitigazione di Anthropic: gli utenti devono tenere presente quanto segue: "Azioni sospette che possono indicare un’iniezione rapida."
La partner di a16z Olivia Moore ha trascorso un fine settimana utilizzando Clawdbot e ha catturato la disconnessione: "Consenti a un agente AI di accedere ai tuoi account. Può leggere i tuoi messaggi, inviare messaggi per tuo conto, accedere ai tuoi file ed eseguire codice sul tuo computer. Devi capire cosa stai effettivamente permettendo."
La maggior parte degli utenti non lo fa. Anche la maggior parte degli sviluppatori non lo fa. E il progetto di MCP non lo ha mai richiesto.
Cinque azioni per i leader della sicurezza
-
Ora fai l’inventario del tuo rischio MCP. Il rilevamento endpoint tradizionale vede i processi del nodo o Python avviati da applicazioni legittime. Non li contrassegna come minacce. Sono necessari strumenti che identifichino specificamente i server MCP.
-
Considera l’autenticazione obbligatoria. La specifica MCP consiglia OAuth 2.1. L’SDK non include l’autenticazione integrata. Ogni server MCP che entra in contatto con i sistemi di produzione deve essere autenticato al momento dell’implementazione, non dopo il fatto.
-
Limita l’esposizione alla rete. Connetti i server MCP all’host locale a meno che non sia esplicitamente richiesto l’accesso remoto e sia richiesta l’autenticazione. I 1.862 server esposti trovati da Knostic indicano che la maggior parte delle esposizioni sono state accidentali.
-
Supponiamo che gli attacchi a spillo arrivino e abbiano successo. I server MCP ereditano il raggio di esplosione dei veicoli che circondano. Il server incapsula credenziali cloud, file system o pipeline di distribuzione? Progettare i controlli di accesso presupponendo che l’agente verrà compromesso.
-
Forzare il consenso delle persone per azioni ad alto rischio. Richiedi il consenso esplicito prima che gli agenti inviino e-mail esterne, eliminino dati o accedano a informazioni sensibili. Tratta il tuo agente come un dipendente veloce ma veramente junior che farà esattamente quello che dici, comprese le cose che non intendi.
Il divario in termini di governance è molto aperto
I fornitori di sicurezza si sono mossi tempestivamente per monetizzare il rischio MCP, ma la maggior parte delle organizzazioni non si è mossa così rapidamente.
L’adozione di Clawdbot è esplosa nel quarto trimestre del 2025. La maggior parte delle roadmap di sicurezza per il 2026 non prevede alcun controllo da parte degli agenti IA. La differenza tra l’entusiasmo degli sviluppatori e la gestione della sicurezza si misura in mesi. La finestra degli aggressori è spalancata.
Golan ha ragione. Diventerà una cosa brutta. La domanda è se le organizzazioni possono proteggere la propria esposizione all’MCP prima che qualcun altro lo sfrutti.
