Model Context Protocol heeft een beveiligingsprobleem dat niet zal verdwijnen.
Toen VentureBeat voor het eerst rapporteerde over de kwetsbaarheden van MCP afgelopen oktoberwaren de gegevens al alarmerend. Het onderzoek van Pynt toonde aan dat het inzetten van slechts 10 MCP-plug-ins een kans op exploitatie van 92% creëert – met een aanzienlijk risico, zelfs vanaf een enkele plug-in.
De kernfout is niet veranderd: MCP wordt geleverd zonder verplichte authenticatie. Autorisatiekaders kwamen zes maanden na de wijdverbreide implementatie. Zoals Merritt Baer, hoofdveiligheidsfunctionaris bij Versleutelde AIwaarschuwde destijds: “MCP wordt geleverd met dezelfde fout die we bij elke grote protocoluitrol hebben gezien: onveilige standaardinstellingen. Als we vanaf dag één geen authenticatie en de minste privileges inbouwen, zullen we de komende tien jaar inbreuken opruimen.”
Drie maanden later is het opruimen al begonnen – en het is erger dan verwacht.
Koppeling veranderde het dreigingsmodel. De virale persoonlijke AI-assistent die in één nacht postvakken kan leegmaken en code kan schrijven, draait volledig op MCP. Elke ontwikkelaar die een Clawdbot op een VPS draaide zonder de beveiligingsdocumentatie te lezen, stelde zijn bedrijf bloot aan het volledige aanvalsoppervlak van het protocol.
Itamar Golan zag het aankomen. Hij verkocht Snelle beveiliging naar SentinelEen voor een geschat op 250 miljoen dollar vorig jaar. Deze week plaatste hij een waarschuwing op X: “Er komt een ramp aan. Duizenden Clawdbots zijn momenteel live op VPS’s… met open poorten naar het internet… en geen authenticatie. Dit gaat lelijk worden.”
Hij overdrijft niet. Wanneer Knostisch Ze scanden het internet en vonden 1.862 MCP-servers zonder authenticatie. Ze testten er 119. Elke server reageerde zonder dat er inloggegevens nodig waren.
Alles wat Clawdbot kan automatiseren, kunnen aanvallers bewapenen.
Drie CVE’s leggen dezelfde architectonische fout bloot
De kwetsbaarheden zijn geen randgevallen. Het zijn directe gevolgen van de ontwerpbeslissingen van MCP. Hier volgt een korte beschrijving van de workflows die elk van de volgende CVE’s blootleggen:
-
CVE-2025-49596 (CVSS 9.4): De MCP Inspector van Anthropic heeft niet-geverifieerde toegang tussen de webinterface en de proxyserver blootgelegd, waardoor volledige systeemcompromis via een kwaadaardige webpagina mogelijk werd gemaakt.
-
CVE-2025-6514 (CVSS 9.6): Commando-injectie in mcp-remote, een OAuth-proxy met 437.000 downloads, stelde aanvallers in staat systemen over te nemen door verbinding te maken met een kwaadaardige MCP-server.
-
CVE-2025-52882 (CVSS 8.8): Populaire Claude Code-extensies hebben niet-geverifieerde WebSocket-servers blootgelegd, waardoor willekeurige bestandstoegang en code-uitvoering mogelijk is.
Drie kritieke kwetsbaarheden in zes maanden. Drie verschillende aanvalsvectoren. Eén hoofdoorzaak: de authenticatie van MCP was altijd optioneel en ontwikkelaars beschouwden optioneel als onnodig.
Het aanvalsoppervlak wordt steeds groter
Gelijk heeft onlangs populaire MCP-implementaties geanalyseerd en ook verschillende kwetsbaarheden gevonden: 43% bevatte fouten in de opdrachtinjectie, 30% stond het onbeperkt ophalen van URL’s toe en 22% lekte bestanden buiten de beoogde mappen.
Forrester-analist Jeff Pollard beschreef het risico in een blogpost: “Vanuit veiligheidsperspectief lijkt het een zeer effectieve manier om een nieuwe en zeer krachtige actor zonder vangrails in uw omgeving te laten vallen.”
Dat is niet overdreven. Een MCP-server met shell-toegang kan worden ingezet voor laterale verplaatsing, diefstal van inloggegevens en de inzet van ransomware, allemaal veroorzaakt door een snelle injectie verborgen in een document dat de AI moest verwerken.
Bekende kwetsbaarheden, uitgestelde oplossingen
Beveiligingsonderzoeker Johann Rehberger onthuld afgelopen oktober een kwetsbaarheid voor bestandsexfiltratie. Een snelle injectie kan AI-agenten ertoe verleiden gevoelige bestanden naar accounts van aanvallers te verzenden.
Anthropic lanceerde deze maand Cowork; het breidt op MCP gebaseerde agenten uit naar een breder, minder beveiligingsbewust publiek. Dezelfde kwetsbaarheid, en deze keer is het onmiddellijk te exploiteren. PromptArmor gedemonstreerd een kwaadaardig document dat de agent manipuleerde om gevoelige financiële gegevens te uploaden.
Anthropic’s mitigatierichtlijnen: Gebruikers moeten letten op “verdachte acties die kunnen wijzen op een snelle injectie.”
a16z-partner Olivia Moore heeft een weekend lang Clawdbot gebruikt en de verbinding verbroken: “Je geeft een AI-agent toegang tot je accounts. Hij kan je berichten lezen, namens jou sms’jes versturen, toegang krijgen tot je bestanden en code uitvoeren op je machine. Je moet echt begrijpen wat je autoriseert.”
De meeste gebruikers niet. De meeste ontwikkelaars ook niet. En het ontwerp van MCP vereiste dat nooit.
Vijf acties voor veiligheidsleiders
-
Inventariseer nu uw MCP-blootstelling. Bij traditionele eindpuntdetectie worden knooppunt- of Python-processen gestart door legitieme applicaties. Het markeert ze niet als bedreigingen. U hebt tools nodig die MCP-servers specifiek identificeren.
-
Beschouw authenticatie als verplicht. De MCP-specificatie beveelt OAuth 2.1 aan. De SDK bevat geen ingebouwde authenticatie. Voor elke MCP-server die met productiesystemen in aanraking komt, moet de authenticatie worden afgedwongen tijdens de implementatie, en niet na het incident.
-
Beperk netwerkblootstelling. Bind MCP-servers aan localhost tenzij externe toegang expliciet vereist en geverifieerd is. De 1.862 blootgestelde servers die Knostic heeft gevonden suggereren dat de meeste blootstellingen per ongeluk zijn.
-
Stel dat er snelle injectie-aanvallen komen en succesvol zullen zijn. MCP-servers nemen de explosieradius over van de tools die ze inpakken. Server omhult cloudreferenties, bestandssystemen of implementatiepijplijnen? Ontwerp toegangscontroles ervan uitgaande dat de agent wordt gecompromitteerd.
-
Dwing menselijke goedkeuring af voor acties met een hoog risico. Vereis expliciete bevestiging voordat agenten externe e-mail verzenden, gegevens verwijderen of toegang krijgen tot gevoelige informatie. Behandel de agent als een snelle maar letterlijke juniormedewerker die precies doet wat u zegt, ook als u het niet meent.
De bestuurskloof is wijd open
Beveiligingsleveranciers zijn al vroeg in actie gekomen om MCP-risico’s te gelde te maken, maar de meeste ondernemingen zijn lang niet zo snel in actie gekomen.
De acceptatie van Clawdbot is in het vierde kwartaal van 2025 explosief toegenomen. De meeste beveiligingsroadmaps voor 2026 bevatten geen controles op AI-agenten. De kloof tussen het enthousiasme van ontwikkelaars en beveiligingsbeheer wordt gemeten in maanden. Het venster voor aanvallers staat wijd open.
Golan heeft gelijk. Dit gaat lelijk worden. De vraag is of organisaties hun MCP-blootstelling veilig zullen stellen voordat iemand anders er misbruik van maakt.
