मॉडेल कॉन्टेक्स्ट प्रोटोकॉलमध्ये सुरक्षा समस्या आहे जी दूर होणार नाही.
गेल्या ऑक्टोबरमध्ये जेव्हा व्हेंचरबीटने पहिल्यांदा MCP मधील असुरक्षिततेचा अहवाल दिला तेव्हा डेटा आधीच चिंताजनक होता. Pynt संशोधन दाखवते की फक्त 10 MCP प्लगइन तैनात केल्याने 92% शोषण क्षमता निर्माण होते – एका अतिरिक्त घटकापासूनही लक्षणीय जोखमीसह.
मूलभूत दोष बदललेला नाही: अनिवार्य प्रमाणीकरणाशिवाय MCP जहाजे. परवाना फ्रेमवर्क मोठ्या प्रमाणावर तैनात केल्यानंतर सहा महिन्यांनी आले. एन्क्रिप्ट एआय मधील मुख्य सुरक्षा अधिकारी मेरिट बेअर यांनी त्यावेळी चेतावणी दिली होती: "MCP समान बग सह पाठवते जे आम्ही प्रोटोकॉलच्या प्रत्येक प्रमुख आवृत्तीमध्ये पाहिले आहे: असुरक्षित डीफॉल्ट. जर आम्ही पहिल्या दिवसापासून प्रमाणीकरण आणि किमान विशेषाधिकार तयार केले नाही, तर आम्ही पुढील दशकासाठी उल्लंघन साफ करू."
तीन महिन्यांनंतर, साफसफाई आधीच सुरू झाली आहे, आणि ते अपेक्षेपेक्षा वाईट आहे.
क्लॉडबॉटने धमकीचे मॉडेल बदलले आहे. एक व्हायरल वैयक्तिक AI सहाय्यक जो इनबॉक्स स्कॅन करू शकतो आणि रात्रभर कोड लिहू शकतो तो पूर्णपणे MCP वर चालतो. सुरक्षा दस्तऐवज न वाचता VPS सर्व्हरवर क्लॉडबॉट तयार करणारा प्रत्येक विकसक केवळ त्यांच्या कंपनीला प्रोटोकॉलच्या संपूर्ण हल्ल्याच्या पृष्ठभागावर आणत आहे.
इटामार गोलन येताना दिसला. गेल्या वर्षी त्याने सेंटिनेलवनला प्रॉम्प्ट सिक्युरिटी $250 दशलक्षमध्ये विकली. या आठवड्यात त्याने X वर एक चेतावणी पोस्ट केली: "आपत्ती येत आहे. हजारो क्लॉडबॉट्स आता VPS वर राहतात… इंटरनेटसाठी खुल्या पोर्टसह… आणि प्रमाणीकरणाशिवाय. हे कुरूप होणार आहे"
तो अतिशयोक्ती करत नाही. जेव्हा नॉस्टिकने इंटरनेट स्कॅन केले, तेव्हा त्यांना 1,862 MCP सर्व्हर प्रमाणीकरणाशिवाय उघडकीस आले. त्यांनी 119 ची चाचणी केली. प्रत्येक सर्व्हरने क्रेडेन्शियल्सची गरज नसताना प्रतिसाद दिला.
क्लॉडबॉट कोणतीही गोष्ट स्वयंचलित करू शकते, हल्लेखोर शस्त्र बनवू शकतात.
तीन CVE आव्हाने समान आर्किटेक्चरल दोष उघड करतात
भेद्यता ही एज केसेस नाहीत. ते MCP डिझाइन निर्णयांचे थेट परिणाम आहेत. खाली वर्कफ्लोचे संक्षिप्त वर्णन आहे जे खालीलपैकी प्रत्येक सामान्य धोके शोधते:
-
CVE-2025-49596 (CVSS 9.4): Anthropic च्या MCP इन्स्पेक्टरने वेब UI आणि प्रॉक्सी सर्व्हर दरम्यान अनधिकृत प्रवेश शोधला, ज्यामुळे संपूर्ण सिस्टमला दुर्भावनापूर्ण वेब पृष्ठाद्वारे तडजोड केली जाऊ शकते.
-
CVE-2025-6514 (CVSS 9.6): mcp-रिमोटमध्ये कमांड इंजेक्शन, 437,000 डाउनलोडसह एक OAuth प्रॉक्सी, आक्रमणकर्त्यांना दुर्भावनापूर्ण MCP सर्व्हरशी कनेक्ट करून सिस्टमवर नियंत्रण ठेवण्यास सक्षम केले.
-
CVE-2025-52882 (CVSS 8.8): लोकप्रिय क्लॉड कोड विस्तार अनधिकृत वेबसॉकेट सर्व्हरचा पर्दाफाश करतात, ज्यामुळे अनियंत्रित फाइल प्रवेश आणि कोड कार्यान्वित होतात.
सहा महिन्यांत तीन गंभीर असुरक्षा. तीन भिन्न आक्रमण वेक्टर. एक मूळ कारण: MCP प्रमाणीकरण नेहमीच ऐच्छिक राहिले आहे आणि विकसकांनी पर्यायीतेला अनावश्यक मानले.
आक्रमण पृष्ठभाग विस्तारत आहे
अलीकडेच लोकप्रिय MCP ऍप्लिकेशन्सचे विश्लेषण केले आणि अनेक भेद्यता देखील आढळल्या: त्यापैकी 43% मध्ये कमांड इंजेक्शन त्रुटी होत्या, त्यापैकी 30% ने अप्रतिबंधित URL आणण्यास अनुमती दिली आणि 22% ने इच्छित निर्देशिकेच्या बाहेर फाईल्स लीक केल्या.
फॉरेस्टर विश्लेषक जेफ बुलार्ड यांनी ब्लॉग पोस्टमध्ये जोखमीचे वर्णन केले: "सुरक्षेच्या दृष्टीकोनातून, एखाद्या नवीन आणि अतिशय शक्तिशाली अभिनेत्याला कोणत्याही रेलिंगशिवाय आपल्या वातावरणात सोडण्याचा हा एक अतिशय प्रभावी मार्ग असल्याचे दिसते."
ही अतिशयोक्ती नाही. शेल ऍक्सेस असलेल्या MCP सर्व्हरला पार्श्व हालचाली, क्रेडेन्शियल्स चोरणे आणि रॅन्समवेअर पसरवणे यासाठी शस्त्र बनवले जाऊ शकते, हे सर्व AI ला प्रक्रिया करण्यास सांगितले गेलेल्या दस्तऐवजात लपवलेल्या स्पॉट इंजेक्शनने ट्रिगर केले आहे.
ज्ञात भेद्यता, स्थगित निराकरणे
सुरक्षा संशोधक जोहान रिपरगर यांनी गेल्या ऑक्टोबरमध्ये फाईल चोरीची असुरक्षा उघड केली. झटपट इंजेक्शन AI एजंटना हल्लेखोरांच्या खात्यात संवेदनशील फाइल्स हस्तांतरित करण्यासाठी फसवू शकते.
Anthropic Cowork या महिन्यात लाँच केले. हे MCP-आधारित प्रॉक्सी विस्तृत, कमी सुरक्षा-जागरूक प्रेक्षकांपर्यंत विस्तारित करते. तीच अगतिकता, यावेळी लगेच शोषण करण्यायोग्य. PromptArmor ने एक दुर्भावनापूर्ण दस्तऐवज उघड केला ज्याने संवेदनशील आर्थिक डेटा अपलोड करण्यासाठी प्रॉक्सीमध्ये फेरफार केला.
मानवीय शमन मार्गदर्शक तत्त्वे: वापरकर्त्यांनी लक्ष दिले पाहिजे "संशयास्पद क्रिया जे त्वरित इंजेक्शन दर्शवू शकतात."
a16z भागीदार ऑलिव्हिया मूरने क्लॉडबॉट वापरून वीकेंड घालवला आणि डिस्कनेक्ट कॅप्चर केले: "तुम्ही एआय एजंटला तुमच्या खात्यांमध्ये प्रवेश मंजूर करता. ते तुमचे संदेश वाचू शकते, तुमच्या वतीने मजकूर पाठवू शकते, तुमच्या फायलींमध्ये प्रवेश करू शकते आणि तुमच्या डिव्हाइसवर कोड कार्यान्वित करू शकते. आपण प्रत्यक्षात काय परवानगी देत आहात हे समजून घेणे आवश्यक आहे."
बहुतेक वापरकर्ते हे करत नाहीत. बहुतेक विकासक तसे करत नाहीत. MCP डिझाईनने त्यांना तसे करण्याची कधीही आवश्यकता नाही.
सुरक्षा नेत्यांसाठी पाच क्रिया
-
आता तुमच्या MCP एक्सपोजरची यादी घ्या. पारंपारिक एंडपॉइंट डिटेक्शनमध्ये कायदेशीर ऍप्लिकेशन्सद्वारे सुरू केलेल्या नोड किंवा पायथन प्रक्रिया दिसतात. आणि त्यांना धमक्या म्हणून चिन्हांकित करू नका. तुम्हाला अशा साधनांची आवश्यकता आहे जी विशेषतः MCP सर्व्हर ओळखतात.
-
प्रमाणीकरण अनिवार्य म्हणून हाताळा. MCP तपशील OAuth 2.1 वापरण्याची शिफारस करतो. SDK मध्ये कोणतेही अंगभूत प्रमाणीकरण समाविष्ट नाही. उत्पादन प्रणालीला स्पर्श करणाऱ्या प्रत्येक MCP सर्व्हरला वस्तुस्थितीनंतर नव्हे तर तैनातीवर प्रमाणीकरण लागू करणे आवश्यक आहे.
-
नेटवर्क एक्सपोजर प्रतिबंधित करा. दूरस्थ प्रवेश स्पष्टपणे आवश्यक आणि प्रमाणीकृत नसल्यास MCP सर्व्हरला लोकलहोस्टशी बांधा. Knostic द्वारे आढळलेले 1,862 उघड केलेले सर्व्हर सूचित करतात की बहुतेक एक्सपोजर अपघाती होते.
-
असे गृहीत धरा की त्वरित इंजेक्शनचे हल्ले येत आहेत आणि ते यशस्वी होतील. MCP सर्व्हरना ते एन्कॅप्स्युलेट केलेल्या टूल्सच्या ब्लास्ट त्रिज्याचा वारसा मिळतो. सर्व्हर क्लाउड क्रेडेन्शियल्स, फाइल सिस्टम्स किंवा डिप्लॉयमेंट पाइपलाइन एन्कॅप्स्युलेट करतो का? एजंटशी तडजोड केली जाईल असे गृहीत धरून प्रवेश नियंत्रणे डिझाइन करा.
-
उच्च-जोखीम प्रक्रियेसाठी मानवी संमती लागू करा. एजंट बाह्य ईमेल पाठवण्यापूर्वी, डेटा हटवण्यापूर्वी किंवा संवेदनशील माहितीमध्ये प्रवेश करण्यापूर्वी स्पष्ट पुष्टीकरणाची विनंती करा. एजंटशी झटपट पण शब्दानुरूप कनिष्ठ कर्मचाऱ्यासारखे वागावे आणि तो किंवा ती तुम्ही म्हणता तेच करेल, ज्यात तुम्हाला अभिप्रेत नसलेल्या गोष्टींचा समावेश आहे.
प्रशासनातील दरी मोठी आहे
सुरक्षा विक्रेते MCP जोखमीची कमाई करण्यासाठी लवकर हलले, परंतु बहुतेक संस्था इतक्या लवकर हलल्या नाहीत.
क्वॉडबॉटचा अवलंब Q4 2025 मध्ये झाला आहे. 2026 साठी बहुतेक सुरक्षा रोडमॅप्समध्ये AI एजंट्ससाठी कोणतेही नियंत्रण नाही. विकासकाचा उत्साह आणि सुरक्षा प्रशासन यांच्यातील अंतर काही महिन्यांत मोजले जाते. हल्लेखोरांसाठी खिडकी खुली आहे.
गोलन बरोबर आहे. हे कुरूप होणार आहे आणि इतर कोणीतरी त्याचा गैरफायदा घेण्यापूर्वी संघटना त्यांचे प्रदर्शन सुरक्षित करतील का, हा प्रश्न आहे.
