Het Context Protocol-model kent aanhoudende beveiligingsproblemen.
Toen VentureBeat voor het eerst rapporteerde over de MCP-kwetsbaarheid afgelopen oktoberde gegevens zijn al zorgwekkend. Pynt-onderzoek laat zien dat het implementeren van slechts 10 MCP-plug-ins een kans van 92% op exploitatie creëert. – met aanzienlijke risico’s van zelfs maar één plug-in.
De kernzwakte blijft ongewijzigd: MCP wordt geleverd zonder verplichte authenticatie. Het autorisatiekader komt zes maanden na de wijdverbreide implementatie. Zoals Merritt Baer, hoofdveiligheidsfunctionaris bij AI-coderingwaarschuwde destijds: “MCP wordt geleverd met dezelfde fout die we bij elke grote protocollancering hebben gezien: een onveilige standaard. Als we niet vanaf de eerste dag authenticatie en de minste privileges inbouwen, zullen we de komende tien jaar inbreuken moeten opruimen.”
Drie maanden later was de schoonmaak begonnen – en de resultaten waren slechter dan verwacht.
Aangrijpend het veranderen van het dreigingsmodel. Een virale persoonlijke AI-assistent die in één nacht postvakken kan leegmaken en code kan schrijven, draait volledig op MCP. Elke ontwikkelaar die Clawdbot op een VPS draait zonder de beveiligingsdocumentatie te lezen, stelt zijn bedrijf eenvoudigweg bloot aan een volledige protocolaanval.
Itamar Golan zag het aankomen. Hij verkoopt Snelle beveiliging naar SentinelEen voor een geschat op 250 miljoen dollar vorig jaar. Deze week plaatste hij een waarschuwing op
Hij overdreef niet. Wanneer Knostisch Bij het scannen van het internet ontdekten ze dat 1.862 MCP-servers zonder authenticatie waren blootgesteld. Ze testten er 119. Elke server reageerde zonder dat er inloggegevens nodig waren.
Alles wat Clawdbot kan automatiseren, kunnen aanvallers als wapen gebruiken.
Drie CVE’s leggen dezelfde architectonische fout bloot
De kwetsbaarheid is geen ernstig geval. Dit is een direct gevolg van de MCP-ontwerpbeslissingen. Hieronder volgt een korte werkstroombeschrijving waarin elk van de volgende CVE’s wordt beschreven:
-
CVE-2025-49596 (CVSS 9.4): Anthropic MCP Inspector ontdekte niet-geverifieerde toegang tussen de webinterface en de proxyserver, waardoor volledige systeemcompromis via een kwaadaardige webpagina mogelijk werd.
-
CVE-2025-6514 (CVSS 9.6): Door opdrachtinjectie in mcp-remote, een OAuth-proxy met 437.000 downloads, kon een aanvaller het systeem overnemen door verbinding te maken met een kwaadaardige MCP-server.
-
CVE-2025-52882 (CVSS 8.8): De populaire Claude Code-extensie maakt gebruik van een niet-geverifieerde WebSocket-server, waardoor willekeurige toegang tot bestanden en code-uitvoering mogelijk is.
Drie kritieke kwetsbaarheden in zes maanden. Drie verschillende aanvalsvectoren. Een van de belangrijkste oorzaken: MCP-authenticatie is altijd optioneel geweest, en ontwikkelaars beschouwen optioneel als onnodig.
Het aanvalsoppervlak blijft zich uitbreiden
Evenals heeft onlangs populaire MCP-implementaties geanalyseerd en ook verschillende kwetsbaarheden gevonden: 43% bevatte fouten in de opdrachtinjectie, 30% stond het ophalen van URL’s toe zonder beperkingen, en 22% lekte bestanden buiten de doelmap.
Forrester-analist Jeff Pollard beschrijf de risico’s in een blogpost: “Vanuit veiligheidsperspectief lijkt dit een zeer effectieve manier om nieuwe en zeer krachtige actoren zonder vangrails in uw omgeving te introduceren.”
Dat is niet overdreven. MCP-servers met shell-toegang kunnen worden gebruikt voor laterale verplaatsing, diefstal van inloggegevens en de inzet van ransomware, allemaal veroorzaakt door snelle injecties verborgen in documenten die de AI moet verwerken.
Bekende kwetsbaarheid, oplossing in behandeling
Beveiligingsonderzoeker verklaard door Johann Rehberger kwetsbaarheid voor bestandsexfiltratie afgelopen oktober. Snelle injectie kan de AI-agent ertoe verleiden gevoelige bestanden naar het account van de aanvaller te sturen.
Anthropic lanceerde deze maand Cowork; dit breidt op MCP gebaseerde agenten uit naar een breder, minder veiligheidsbewust publiek. Dezelfde kwetsbaarheid, en deze keer direct exploiteerbaar. PromptArmor gedemonstreerd kwaadaardige documenten die agenten manipuleren om gevoelige financiële gegevens te uploaden.
Anthropic’s mitigatierichtlijnen: Gebruikers moeten letten op “verdachte acties die kunnen wijzen op een dreigende injectie.”
a16z-partner Olivia Moore bracht het weekend door met het gebruik van Clawdbot en legde de verbinding vast: “Je geeft een AI-agent toegang tot je account. De agent kan je berichten lezen, namens jou sms’jes sturen, toegang krijgen tot je bestanden en code uitvoeren op je machine. Je moet echt begrijpen wat je autoriseert.”
De meeste gebruikers niet. De meeste ontwikkelaars ook niet. En het MCP-ontwerp vereiste nooit dat ze dat deden.
Vijf acties voor veiligheidsleiders
-
Inventariseer nu uw MCP-blootstelling. Bij traditionele eindpuntdetectie worden knooppunt- of Python-processen gestart door legitieme applicaties. Het markeert ze niet als een bedreiging. U hebt een tool nodig die MCP-servers specifiek identificeert.
-
Beschouw authenticatie als verplicht. De MCP-specificatie beveelt OAuth 2.1 aan. De SDK bevat geen ingebouwde authenticatie. Elke MCP-server die in aanraking komt met een productiesysteem vereist authenticatie die wordt geïmplementeerd op het moment van implementatie, en niet na een incident.
-
Beperk de blootstelling aan weefsel. Bind de MCP-server aan localhost tenzij externe toegang vereist is en expliciet is geverifieerd. De 1.862 blootgestelde servers die Knostic heeft gevonden suggereren dat de overgrote meerderheid van de blootstellingen per ongeluk was.
-
Stel dat er een snelle injectie-aanval op komst is en succesvol zal zijn. De MCP-server erft de ontploffingsradius van het apparaat dat hij omsluit. De server bevat cloudreferenties, bestandssystemen of implementatiepaden? Ontwerp toegangscontroles in de veronderstelling dat agenten worden gecompromitteerd.
-
Het afdwingen van menselijke toestemming voor risicovolle acties. Vereis expliciete bevestiging voordat agenten externe e-mails verzenden, gegevens verwijderen of toegang krijgen tot gevoelige informatie. Behandel agenten als snelle, maar letterlijke juniormedewerkers die precies doen wat u zegt, ook als u dat niet meent.
De bestuurskloven zijn wijd open
Beveiligingsleveranciers komen vroeg in actie om MCP-risico’s te gelde te maken, maar de meeste bedrijven handelen niet zo snel.
De acceptatie van Clawdbot is in het vierde kwartaal van 2025 explosief toegenomen. De meeste beveiligingsroadmaps voor 2026 ontberen controle over AI-agenten. De kloof tussen het enthousiasme van ontwikkelaars en beveiligingsbeheer wordt gemeten in maanden. De kansen voor aanvallers liggen wijd open.
Golan heeft gelijk. Dit gaat slecht zijn. De vraag is of organisaties hun MCP-blootstelling veilig zullen stellen voordat anderen deze exploiteren.


