Model Context Protocol (MCP), okosnica sve popularnijih AI agenata, i dalje je kronično nesiguran. Iako je lansiran bez obavezne autentifikacije, već je u produkciji širom svijeta – a napadači to iskorištavaju.
Najnoviji val incidenata pokrenuo je Clawdbot, viralni osobni AI asistent koji radi isključivo na MCP-u. Tisuće ga je developera postavilo na virtualne poslužitelje s otvorenim portovima i bez ikakve zaštite. Stručnjak za kibernetičku sigurnost Itamar Golan na društvenoj mreži X upozorio je: „Disaster is coming. Thousands of Clawdbots are live right now on VPSs … with open ports to the internet … and zero authentication. This is going to get ugly.”
Potvrđuju ga i podaci tvrtke Knostic: od 1 862 javno izložena MCP poslužitelja, na 119 testiranih nije bila potrebna lozinka. Napadači tako mogu preuzeti sve što agent automatizira – od čišćenja poštanskog sandučića do pisanja koda – i pretvoriti ga u oružje.
Tri kritične CVE prijave u šest mjeseci
• CVE-2025-49596 (CVSS 9,4): web sučelje alata MCP Inspector dopuštalo je potpuno kompromitiranje sustava putem zlonamjerne web-stranice.
• CVE-2025-6514 (CVSS 9,6): naredbena injekcija u popularnom OAuth proxyju mcp-remote omogućila je preuzimanje kontrole nad sustavima povezivanjem na zlonamjerni MCP poslužitelj.
• CVE-2025-52882 (CVSS 8,8): Claude Code ekstenzije izlagale su neautentificirani WebSocket poslužitelj, čime je postalo moguće čitati datoteke i izvršavati kod.
Sve tri ranjivosti proizlaze iz iste odluke: autentifikacija je bila opcionalna, a developeri su je smatrali nepotrebnom.
Napadačka površina širi se
Analiza Equixlyja otkrila je dodatne rupe u popularnim implementacijama MCP-a: 43 % ima naredbene injekcije, 30 % dopušta neograničeno dohvaćanje URL-ova, a 22 % izlaže datoteke izvan predviđenih direktorija. Forresterov analitičar Jeff Pollard to opisuje kao „vrlo učinkovit način da u svoje okruženje ubacite novog, moćnog aktera bez ikakvih ograda”.
Istovremeno, ranije prijavljena ranjivost za izvlačenje datoteka – otkrio ju je istraživač Johann Rehberger – i dalje je prisutna. Nova usluga Cowork, koja MCP agente približava još široj publici, otvara vrata prompt-injekcijama; sigurnosna tvrtka PromptArmor pokazala je kako zlonamjerni dokument može natjerati agenta da napadaču pošalje osjetljive financijske podatke.
Preporuke za sigurnosne timove
- Popišite sve MCP instance – klasični endpoint alati ih često ne prepoznaju.
- Autentifikaciju učinite obaveznom uz, primjerice, OAuth 2.1.
- Ograničite mrežnu vidljivost; vežite poslužitelje na localhost kad god je moguće.
- Pretpostavite da će prompt-injekcija uspjeti i planirajte ograničenja privilegija.
- Za rizične radnje uvedite obaveznu ljudsku potvrdu.
Jaz između entuzijazma i governancea
Popularnost Clawdbota eksplodirala je krajem 2025., dok većina sigurnosnih strategija za 2026. još ne uključuje kontrole nad AI agentima. Merritt Baer, direktorica sigurnosti u Enkrypt AI, još je ranije upozorila: „MCP is shipping with the same mistake we've seen in every major protocol rollout: insecure defaults. If we don't build authentication and least privilege in from day one, we'll be cleaning up breaches for the next decade.”
Ako organizacije uskoro ne osiguraju svoje MCP okruženje, netko drugi mogao bi ih na to prisiliti – upadom izvana.