Il Mannequin Context Protocol ha un problema di sicurezza che non scomparirà.
Quando VentureBeat ha segnalato per la prima volta le vulnerabilità di MCP lo scorso ottobre, i dati erano già allarmanti. La ricerca di Pynt ha dimostrato che la distribuzione di soli 10 plug-in MCP crea una probabilità di sfruttamento del 92%. – con rischi significativi anche da un singolo plug-in.
Il difetto principale non è cambiato: MCP è stato spedito senza autenticazione obbligatoria. I quadri di autorizzazione sono arrivati sei mesi dopo l’implementazione diffusa. Come ha affermato Merritt Baer, responsabile della sicurezza presso Crittografa l’IAavvertì all’epoca: “MCP presenta lo stesso errore che abbiamo visto in ogni importante lancio di protocolli: impostazioni predefinite non sicure. Se non creiamo l’autenticazione e i privilegi minimi fin dal primo giorno, elimineremo le violazioni per il prossimo decennio.”
Tre mesi dopo, la pulizia è già iniziata ed è peggiore del previsto.
Clawdbot ha cambiato il modello di minaccia. L’assistente personale AI virale che può cancellare le caselle di posta e scrivere codice durante la notte funziona interamente su MCP. Ogni sviluppatore che ha avviato un Clawdbot su un VPS senza leggere i documenti sulla sicurezza ha semplicemente esposto la propria azienda all’intera superficie di attacco del protocollo.
Itamar Golan lo aveva previsto. Ha venduto Sicurezza immediata A SentinelOne per una cifra stimata di 250 milioni di dollari lo scorso anno. Questa settimana, ha pubblicato un avvertimento su X: “Il disastro sta arrivando. Migliaia di Clawdbot sono attivi in questo momento su VPS… con porte Web aperte… e zero autenticazione. Le cose si metteranno male.”
Non sta esagerando. Quando Knostico scansionando Web, hanno trovato 1.862 server MCP esposti senza autenticazione. Ne hanno testati 119. Ogni server ha risposto senza richiedere credenziali.
Tutto ciò che Clawdbot può automatizzare, gli aggressori possono trasformarlo in un’arma.
Tre CVE stanno esponendo lo stesso difetto architettonico
Le vulnerabilità non sono casi limite. Sono conseguenze dirette delle decisioni di progettazione di MCP. Ecco una breve descrizione dei flussi di lavoro che espongono ciascuno dei seguenti CVE:
-
CVE-2025-49596 (CVSS 9.4): MCP Inspector di Anthropic ha esposto l’accesso non autenticato tra la sua interfaccia utente net e il server proxy, consentendo la compromissione dell’intero sistema tramite una pagina net dannosa.
-
CVE-2025-6514 (CVSS 9.6): l’iniezione di comandi in mcp-remote, un proxy OAuth con 437.000 obtain, ha consentito agli aggressori di prendere il controllo dei sistemi collegandosi a un server MCP dannoso.
-
CVE-2025-52882 (CVSS 8.8): le estensioni popolari di Claude Code esponevano server WebSocket non autenticati, consentendo l’accesso arbitrario ai file e l’esecuzione del codice.
Tre vulnerabilità critiche in sei mesi. Tre diversi vettori di attacco. Una delle trigger principali: l’autenticazione di MCP è sempre stata facoltativa e gli sviluppatori la consideravano non necessaria.
La superficie di attacco continua advert espandersi
Esattamente ha recentemente analizzato le popolari implementazioni MCP e ha riscontrato anche numerous vulnerabilità: il 43% conteneva difetti di command injection, il 30% consentiva il recupero illimitato di URL e il 22% file trapelati al di fuori delle listing previste.
Jeff Pollard, analista di Forrester ha descritto il rischio in un post sul blog: “Dal punto di vista della sicurezza, sembra un modo molto efficace per inserire un attore nuovo e molto potente nel tuo ambiente senza barriere.”
Non è un’esagerazione. Un server MCP con accesso alla shell può essere utilizzato come arma per movimenti laterali, furto di credenziali e distribuzione di ransomware, il tutto attivato da un’iniezione tempestiva nascosta in un documento che l’IA è stata invitata a elaborare.
Vulnerabilità be aware, correzioni differite
Ricercatore di sicurezza Lo ha rivelato Johann Rehberger una vulnerabilità relativa all’esfiltrazione di file lo scorso ottobre. L’iniezione tempestiva potrebbe indurre gli agenti di intelligenza artificiale a trasmettere file sensibili agli account degli aggressori.
Anthropic ha lanciato Cowork questo mese; espande gli agenti basati su MCP a un pubblico più ampio e meno attento alla sicurezza. Stessa vulnerabilità, e questa volta è immediatamente sfruttabile. PromptArmor ha dimostrato un documento dannoso che ha manipolato l’agente inducendolo a caricare dati finanziari sensibili.
Guida alla mitigazione di Anthropic: gli utenti dovrebbero prestare attenzione a “azioni sospette che potrebbero indicare un’iniezione tempestiva”.
Olivia Moore, companion di a16z, ha trascorso un effective settimana utilizzando Clawdbot e ha catturato la disconnessione: “Stai dando a un agente AI l’accesso ai tuoi account. Può leggere i tuoi messaggi, inviare messaggi per tuo conto, accedere ai tuoi file ed eseguire codice sulla tua macchina. Devi capire effettivamente cosa stai autorizzando.”
La maggior parte degli utenti no. Nemmeno la maggior parte degli sviluppatori lo fa. E il design di MCP non lo ha mai richiesto.
Cinque azioni per i chief della sicurezza
-
Inventaria subito la tua esposizione MCP. Il rilevamento endpoint tradizionale vede i processi del nodo o Python avviati da applicazioni legittime. Non li segnala come minacce. Sono necessari strumenti che identifichino specificamente i server MCP.
-
Considera l’autenticazione come obbligatoria. La specifica MCP consiglia OAuth 2.1. L’SDK non embody l’autenticazione incorporata. Ogni server MCP che entra in contatto con i sistemi di produzione necessita dell’applicazione dell’autenticazione al momento della distribuzione, non dopo l’incidente.
-
Limita l’esposizione alla rete. Associa i server MCP all’host locale a meno che l’accesso remoto non sia esplicitamente richiesto e autenticato. I 1.862 server esposti rilevati da Knostic suggeriscono che la maggior parte delle esposizioni sono accidentali.
-
Supponiamo che gli attacchi di iniezione tempestiva stiano arrivando e avranno successo. I server MCP ereditano il raggio di esplosione degli strumenti che avvolgono. Il server avvolge credenziali cloud, file system o pipeline di distribuzione? Progettare i controlli di accesso presupponendo che l’agente verrà compromesso.
-
Forzare l’approvazione umana per azioni advert alto rischio. Richiedi una conferma esplicita prima che gli agenti inviino e-mail esterne, eliminino dati o accedano a informazioni sensibili. Tratta l’agente come un giovane impiegato veloce ma letterale che farà esattamente quello che dici, comprese le cose che non intendevi.
Il divario in termini di governance è molto aperto
I fornitori di sicurezza si sono mossi tempestivamente per monetizzare il rischio MCP, ma la maggior parte delle aziende non si è mossa altrettanto velocemente.
L’adozione di Clawdbot è esplosa nel quarto trimestre del 2025. La maggior parte delle roadmap di sicurezza per il 2026 non prevede alcun controllo da parte degli agenti IA. Il divario tra l’entusiasmo degli sviluppatori e la governance della sicurezza si misura in mesi. La finestra per gli aggressori è spalancata.
Golan ha ragione. Diventerà una cosa brutta. La domanda è se le organizzazioni garantiranno la propria esposizione al MCP prima che qualcun altro lo sfrutti.
