Stessa connessione fatta Modello Contesto Protocollo di Anthropic (MCP) Lo standard di integrazione AI adottato più rapidamente nel 2025 ha creato il punto cieco più pericoloso nella sicurezza informatica aziendale.

L’ultima ricerca di Pynt Quantifica la crescente minaccia in termini chiari e concisi. La loro analisi rivela il sorprendente impatto sulla rete delle vulnerabilità che aumentano man mano che vengono utilizzate più estensioni MCP. Distribuendo solo dieci plugin MCP, Probabilità di sfruttamento del 92%.. Rischio su tre server interconnessi supera il 50%. Anche un singolo plugin MCP presenta una probabilità di sfruttamento del 9% e la minaccia cresce in modo esponenziale con ogni aggiunta.

Il paradosso della sicurezza degli MCP innesca uno dei principali rischi legati all’intelligenza artificiale delle organizzazioni

La premessa progettuale di MCP è iniziata con il lodevole obiettivo di risolvere il caos dell’integrazione dell’intelligenza artificiale. Scegliendo di standardizzare il modo in cui i modelli linguistici di grandi dimensioni (LLM) si connettono a strumenti e fonti di dati esterni, Anthropic ha fornito ciò di cui ogni organizzazione che lavora con modelli e fonti di intelligenza artificiale ha urgentemente bisogno: un’interfaccia universale per gli agenti di intelligenza artificiale per accedere a tutto, dalle API, ai servizi cloud, ai database e altro ancora.

Il lancio di Anthropic è stato organizzato molto bene Ha affermato che MCP ha attirato l’interesse immediato di molte delle principali aziende di intelligenza artificiale del settore, tra cui Google e Microsoft, che hanno rapidamente adottato lo standard. Ora, a meno di dieci mesi dal lancio, Sono stati distribuiti più di 16.000 server MCP Nelle aziende Fortune 500 solo quest’anno.

Al centro del paradosso della sicurezza dell’MCP risiede la sua più grande forza; collegamento senza attrito E integrazione diffusa con il minor attrito possibile. Questo aspetto del protocollo più grande debolezza. Sicurezza non è stato incluso nella progettazione di base del protocollo. autenticazione resta facoltativo. Quadri di autorizzazione È arrivato con gli aggiornamenti solo sei mesi fa, mesi dopo che il protocollo aveva visto implementazioni diffuse. Quando questi due fattori si uniscono, alimentano una rapida crescita. superficie di attacco in espansione Ogni nuova connessione aumenta il rischio, effetto di rete vulnerabilità.

"MCP viene fornito con lo stesso bug che vediamo con il lancio di tutti i principali protocolli: impostazioni predefinite non sicure," Il capo della sicurezza Merritt Baer avverte Crittografa l’intelligenza artificiale consulente e consigliere di aziende come Andesite e AppOmni ha detto a VentureBeat in una recente intervista. "Se non integriamo l’autenticazione e i privilegi minimi fin dal primo giorno, riusciremo a eliminare le violazioni per il prossimo decennio."

Fonte: Pynt, 281 Rapporto sulla misurazione dell’esposizione al rischio in MCP

Definizione del rischio compositivo: in che modo la sicurezza viene compromessa su larga scala?

L’analisi di Pynt Tutti i 281 server MCP forniscono i dati necessari per illustrare i principi matematici alla base del rischio compositivo.

Secondo la loro analisi, il 72% degli MCP espone funzionalità sensibili come l’esecuzione dinamica di codice, l’accesso al file system e le chiamate API privilegiate, mentre il 13% accetta input non attendibili come web scraping, messaggi Slack, e-mail o feed RSS. Quando questi due fattori di rischio si intersecano, come nel 9% delle implementazioni MCP nel mondo reale, gli aggressori spesso ottengono percorsi diretti per l’iniezione rapida, l’esecuzione dei comandi e l’esfiltrazione dei dati senza la necessità di una singola approvazione umana. Queste non sono vulnerabilità ipotetiche; questi sono modi vivi e misurabili per sfruttare nascosti nelle configurazioni MCP quotidiane.

"Quando ti connetti a un server MCP, non solo ti fidi della tua sicurezza, ma erediti l’igiene di ogni strumento, ogni credenziale, ogni sviluppatore in quella catena." Baer avverte. "Questo è un rischio della catena di approvvigionamento in tempo reale."

Fonte: Pynt, 281 Rapporto sulla misurazione dell’esposizione al rischio in MCP

Un numero crescente di exploit nel mondo reale dimostra che le vulnerabilità MCP sono reali

I team di ricerca sulla sicurezza di molte delle aziende leader del settore continuano il loro lavoro per identificare le vulnerabilità del mondo reale che MCP attualmente vede in natura, oltre a quelle di natura teorica. Il protocollo MCP continua a mostrare crescenti vulnerabilità in diversi scenari; I principali sono i seguenti:

CVE-2025-6514 (CVSS 9.6): La suite remota MCP, che è stata scaricata più di 500.000 volte, presenta una vulnerabilità critica che consente l’esecuzione di comandi arbitrari del sistema operativo. "La vulnerabilità consente agli aggressori di attivare l’esecuzione arbitraria di comandi del sistema operativo quando avviano una connessione a un server MCP non attendibile sulla macchina che esegue MCP-remote, compromettendo l’intero sistema." avverte JFrog squadra di sicurezza.

Timbro postale MCP Backdoor: Sicurezza delle Koi lo ha rivelato pacchetto npm postmark-mcp È stato trasformato in un cavallo di Troia per fornire accesso nascosto agli aggressori "modalità dio" Accesso dai flussi di lavoro AI. Nella versione 1.0.16, l’autore malintenzionato ha aggiunto una singola riga di codice che inviava silenziosamente in BCC ogni email indirizzata al suo dominio (ad esempio, phan@giftshop.club), estraendo di fatto promemoria interni, fatture e reimpostazioni di password senza causare alcun avviso. Come ricercatori sulle koi metti questo: "Questi server MCP funzionano con gli stessi privilegi degli assistenti AI (accesso completo alla posta elettronica, connessioni al database, autorizzazioni API), ma non compaiono in nessun inventario delle risorse, ignorano le valutazioni del rischio del fornitore e aggirano ogni controllo di sicurezza dal DLP ai gateway di posta elettronica."

Idan Dardikman, co-fondatore e CTO di Koi Security. scrive in un nuovo post sul blog postmark-mcp rivela quanto sia killer il pacchetto npm, "Vorrei chiarire una cosa: i server MCP non sono come i normali pacchetti npm. Si tratta di strumenti progettati specificamente per gli assistenti IA da utilizzare in modo autonomo."

"Se utilizzi postmark-mcp 1.0.16 o versione successiva, la tua sicurezza è compromessa. Rimuovere e sostituire immediatamente tutte le credenziali che potrebbero essere state esposte tramite e-mail. Ma cosa ancora più importante, controlla ogni server MCP che utilizzi. Chiediti questo: sai davvero chi produce questi strumenti di cui ti fidi completamente? " Scrive Dardikman. finisce per posta Con alcuni validi consigli: "Rimani paranoico. La paranoia negli MCP ha senso."

CVE-2025-49596: Sicurezza dell’Oligo Una vulnerabilità RCE critica è stata esposta nell’MCP Inspector di Anthropic, consentendo attacchi basati su browser. "Eseguendo il codice sul computer dello sviluppatore, gli aggressori possono rubare dati, installare backdoor e spostarsi lateralmente tra le reti." Lo spiega il ricercatore di sicurezza Avi Lumelsky

Sulle tracce dei pidocchi "Salto di riga" Attacco: I ricercatori dimostrano quanto sia malevolo server MCP iniettare prompt descrizioni dei veicoli Manipolare il comportamento dell’intelligenza artificiale senza mai essere esplicitamente richiamato per questo. "Questa vulnerabilità sfrutta il presupposto errato che gli esseri umani forniscano un livello di difesa affidabile." nota la squadra.

Ulteriori vulnerabilità includono: attacchi di iniezione rapida Dirottare il comportamento dell’IA, avvelenamento da utensilimodifica dei metadati del server, debolezze di autenticazione dove i token passano attraverso proxy non attendibili e attacchi alla supply chain tramite pacchetti npm compromessi.

La scappatoia di autenticazione deve essere progettata per prima

L’autenticazione e l’autorizzazione erano inizialmente facoltative in MCP. Il protocollo dava priorità all’interoperabilità rispetto alla sicurezza, presupponendo che le aziende aggiungessero i propri controlli. Non l’hanno fatto. OAuth 2.0 Il mandato è finalmente arrivato nel marzo 2025 ed è stato fissato come segue: OAuth 2.1 Fino a giugno. Ma migliaia di server MCP distribuiti senza autenticazione rimangono in produzione.

ricerca accademica Università della Regina Ha analizzato 1.899 server MCP open source e ha scoperto che il 7,2% conteneva vulnerabilità comuni e il 5,5% mostrava un’avvelenamento da strumenti specifici di MCP. Sondaggio di Gartner (tramite l’articolo Human-Machine Identity Blur di IBM) Rivela che le organizzazioni utilizzano 45 strumenti di sicurezza informatica ma gestiscono efficacemente solo il 44% delle identità delle macchine, il che significa che metà delle identità negli ecosistemi aziendali potrebbero essere invisibili e ingestibili.

È sul tavolo la definizione di una strategia globale di difesa del MCP

La definizione di una strategia di difesa MCP a più livelli aiuta a colmare eventuali lacune rimanenti nella struttura del protocollo originale. I livelli qui descritti hanno lo scopo di riunire protezioni architetturali e misure operative immediate per ridurre la superficie di minaccia di un’organizzazione.

Livello 1: inizia con l’autenticazione e i controlli di accesso, l’area più debole di MCP

Il miglioramento dell’autenticazione e dei controlli di accesso deve iniziare con l’applicazione delle norme OAuth 2.1 per ciascun gateway MCP in un’organizzazione. Quello di Gartner Si afferma che le organizzazioni che implementano queste misure segnalano il 48% in meno di vulnerabilità, il 30% in più di adozione da parte degli utenti e il monitoraggio centralizzato dei server MCP. "I gateway MCP fungono da intermediari di sicurezza essenziali," scrive società di ricerca, che fornisce cataloghi di server unificati e monitoraggio in tempo reale.

Livello 2: Perché i livelli semantici sono importanti nella sicurezza contestuale?

I livelli semantici sono necessari per dare più contesto a ogni decisione di accesso e garantire che gli agenti di intelligenza artificiale funzionino solo con dati standardizzati, affidabili e verificabili. L’implementazione di livelli semantici aiuta a ridurre il carico operativo, migliora la precisione delle query in linguaggio naturale e fornisce la visibilità in tempo reale di cui i leader della sicurezza hanno bisogno. VentureBeat rileva che la pratica di incorporare le policy di sicurezza direttamente nell’accesso ai dati contribuisce a ridurre i rischi di violazione e a rendere più sicuri i flussi di lavoro di analisi delle agenzie.

Livello 3: le infografiche sono essenziali per la visibilità

Per definizione, i grafici della conoscenza collegano entità, entità analitiche e processi aziendali, consentendo agli agenti di intelligenza artificiale di operare in modo trasparente e sicuro in un contesto aziendale. Gartner sottolinea che questa funzionalità è fondamentale per la conformità normativa, la verificabilità e l’affidabilità, soprattutto in query e flussi di lavoro complessi. Merritt Baer sottolinea l’urgenza: "Se usi MCP oggi, hai già bisogno di sicurezza. Guardrail, monitoraggio e registri di controllo non sono opzionali; queste sono la differenza tra innovazione con e senza mitigazione del rischio." consiglia Baer.

Piano d’azione consigliato per i leader della sicurezza

VentureBeat raccomanda ai leader della sicurezza con integrazioni basate su MCP attive nelle loro organizzazioni di adottare le seguenti cinque misure precauzionali per proteggere la propria infrastruttura:

  1. Rendilo una pratica implementando prima i gateway MCP OAuth 2.1 E Connessione OpenID Mentre MCP centralizza la registrazione del server.

  2. Descrivi come la tua infrastruttura può supportare un’architettura di sicurezza a più livelli con livelli semantici e grafici della conoscenza, nonché gateway.

  3. Rendi l’attività di conduzione di audit MCP regolari la memoria muscolare dei tuoi team di sicurezza attraverso la modellazione delle minacce, il monitoraggio continuo e il red teaming, in modo che venga eseguito in modo riflessivo.

  4. Limitare l’utilizzo del plugin MCP solo ai plugin essenziali; Ricordare: 3 plugin = 52% di rischio, 10 plugin = 92% di rischio.

  5. Investi nella sicurezza specifica dell’intelligenza artificiale come categoria di rischio separata nella tua strategia di sicurezza informatica.

Collegamento alla fonte

RELATED ARTICLESMORE FROM AUTHOR