Het Model Context Protocol heeft een beveiligingsprobleem dat niet zal verdwijnen.
Toen VentureBeat voor het eerst rapporteerde over de kwetsbaarheden van MCP Oktober vorig jaarde gegevens waren al alarmerend. Het onderzoek van Pynt toonde aan dat het inzetten van slechts 10 MCP-plug-ins een kans op exploitatie van 92% creëert – met een aanzienlijk risico, zelfs vanaf een enkele plug-in.
De kernbug is niet veranderd: MCP wordt verzonden zonder verplichte authenticatie. Autorisatiekaders kwamen zes maanden na de wijdverbreide implementatie. Dat weet Merritt Baer, Chief Security Officer Versleutel AIwaarschuwde destijds: “MCP wordt geleverd met dezelfde fout die we hebben gezien bij elke grote protocoluitrol: onveilige standaardinstellingen. Als we niet vanaf de eerste dag authenticatie en de minste privileges opbouwen, zullen we de komende tien jaar inbreuken opruimen.”
Drie maanden later is de schoonmaak al begonnen – en het is erger dan verwacht.
Koppeling veranderde het dreigingsmodel. De virale persoonlijke AI-assistent die in één nacht postvakken kan leegmaken en code kan schrijven, draait uitsluitend op MCP. Elke ontwikkelaar die een Clawdbot op een VPS installeerde zonder de beveiligingsdocumentatie te lezen, stelde zijn bedrijf bloot aan het volledige aanvalsoppervlak van het protocol.
Itamar Golan zag het aankomen. Hij verkocht Snelle beveiliging naar SentinelEen voor één naar schatting $ 250 miljoen vorig jaar. Deze week waarschuwde hij op X: “Er komt een ramp. Duizenden Clawdbots zijn momenteel live op VPS’s… met open poorten naar internet… en geen authenticatie. Dit gaat lelijk worden.”
Hij overdrijft niet. Wanneer Knostisch Ze scanden het internet en vonden 1.862 MCP-servers zonder authenticatie. Ze testten er 119. Elke server reageerde zonder dat er inloggegevens nodig waren.
Alles wat Clawdbot kan automatiseren, kan wapens aanvallen.
Drie CVE’s leggen dezelfde architectonische fout bloot
De kwetsbaarheden zijn geen marginale gevallen. Ze zijn directe gevolgen van de ontwerpbeslissingen van MCP. Hier volgt een korte beschrijving van de workflows die elk van de volgende CVE’s blootleggen:
-
CVE-2025-49596 (CVSS 9.4): De MCP Inspector van Anthropic heeft ongeoorloofde toegang tussen de webinterface en de proxyserver blootgelegd, waardoor volledige systeemcompromis via een kwaadaardige webpagina mogelijk werd gemaakt.
-
CVE-2025-6514 (CVSS 9.6): Door commando-injectie in mcp-remote, een OAuth-proxy met 437.000 downloads, konden aanvallers systemen overnemen door verbinding te maken met een kwaadaardige MCP-server.
-
CVE-2025-52882 (CVSS 8.8): Populaire Claude Code-extensies hebben niet-geverifieerde WebSocket-servers blootgelegd, waardoor willekeurige toegang tot bestanden en code-uitvoering mogelijk is.
Drie kritieke kwetsbaarheden in zes maanden. Drie verschillende aanvalsvectoren. Eén hoofdoorzaak: de authenticatie van MCP was altijd optioneel en ontwikkelaars beschouwden optioneel als onnodig.
Het aanvalsoppervlak blijft zich uitbreiden
Maakt niet uit heeft onlangs populaire MCP-implementaties geanalyseerd en ook verschillende kwetsbaarheden gevonden: 43% bevatte fouten in de opdrachtinjectie, 30% maakte het onbeperkt ophalen van URL’s mogelijk en 22% lekte bestanden buiten de beoogde mappen.
Forrester-analist Jeff Pollard beschreef het risico in een blogpost: “Vanuit veiligheidsperspectief lijkt het een zeer effectieve manier om een nieuwe en zeer krachtige actor zonder enige bescherming in uw omgeving binnen te laten.”
Dat is niet overdreven. Een MCP-server met shell-toegang kan worden bewapend voor laterale verplaatsing, diefstal van inloggegevens en de inzet van ransomware, allemaal veroorzaakt door een snelle injectie verborgen in een document dat de AI moest verwerken.
Bekende kwetsbaarheden, uitgestelde oplossingen
Beveiligingsonderzoeker Johann Rehberger blootgelegd afgelopen oktober een kwetsbaarheid voor bestandsexfiltratie. Snelle injectie kan AI-agenten ertoe verleiden gevoelige bestanden over te dragen naar accounts van aanvallers.
Anthropic lanceerde deze maand Cowork; het breidt op MCP gebaseerde agenten uit naar een breder, minder veiligheidsbewust publiek. Dezelfde kwetsbaarheid, en deze keer kan deze onmiddellijk worden uitgebuit. PromptArmor gedemonstreerd een kwaadaardig document dat de agent manipuleerde om gevoelige financiële gegevens te uploaden.
Anthropic’s mitigatierichtlijnen: Gebruikers moeten letten op “verdachte acties die kunnen wijzen op een snelle injectie.”
a16z-partner Olivia Moore heeft een weekend lang Clawdbot gebruikt en de verstoring vastgelegd: “Je geeft een AI-agent toegang tot je accounts. Hij kan je berichten lezen, namens jou sms’en, toegang krijgen tot je bestanden en code uitvoeren op je machine. Je moet echt begrijpen wat je autoriseert.”
De meeste gebruikers niet. De meeste ontwikkelaars ook niet. En het ontwerp van MCP had ze nooit nodig.
Vijf acties voor beveiligingsmanagers
-
Inventariseer nu uw MCP-blootstelling. Bij traditionele eindpuntdetectie worden Node- of Python-processen gestart door legitieme applicaties. Het markeert ze niet als bedreigingen. U hebt een tool nodig die MCP-servers specifiek identificeert.
-
Beschouw authenticatie als verplicht. De MCP-specificatie beveelt OAuth 2.1 aan. De SDK bevat geen native authenticatie. Elke MCP-server die in aanraking komt met productiesystemen moet worden goedgekeurd tijdens de implementatie, niet na het incident.
-
Beperk netwerkblootstelling. Bind MCP-servers aan localhost tenzij externe toegang expliciet vereist en geautoriseerd is. De 1.862 blootgestelde servers die Knostic heeft gevonden suggereren dat de meeste blootstellingen onbedoeld zijn.
-
Ga ervan uit dat snelle injectie-aanvallen zullen komen en succesvol zullen zijn. MCP-servers nemen de explosieradius over van de tools die ze inpakken. Server omhult cloudreferenties, bestandssystemen of implementatiepijplijnen? Ontwerp toegangscontrole ervan uitgaande dat de agent wordt gecompromitteerd.
-
Dwing menselijke goedkeuring af voor acties met een hoog risico. Vereis expliciete bevestiging voordat agenten externe e-mail verzenden, gegevens verwijderen of toegang krijgen tot gevoelige informatie. Behandel de agent als een snelle maar letterlijke juniormedewerker die precies doet wat je zegt, ook als je het niet meent.
De bestuurskloof is wijd open
Beveiligingsleveranciers zijn al vroeg in actie gekomen om het MCP-risico te gelde te maken, maar de meeste bedrijven zijn lang niet zo snel in actie gekomen.
De acceptatie van Clawdbot is in het vierde kwartaal van 2025 explosief toegenomen. De meeste beveiligingsroadmaps voor 2026 bevatten geen controles op AI-agenten. De kloof tussen het enthousiasme van ontwikkelaars en beveiligingsbeheer wordt gemeten in maanden. Het raam voor de aanvallers staat wijd open.
Golan heeft gelijk. Dit gaat lelijk worden. De vraag is of organisaties hun MCP-blootstelling zullen afdekken voordat iemand anders er misbruik van maakt.
