Bezpečnostná diera v MCP protokole ohrozuje 200 tisíc serverov. Anthropic: tak je to navrhnuté
Výskumníci našli závažnú zraniteľnosť v Model Context Protocole, ktorý používajú AI agenti na komunikáciu s firemnými systémami. Anthropic tvrdí, že nejde o bug, ale o súčasť dizajnu.
Výskumníci našli závažnú zraniteľnosť v Model Context Protocole, ktorý používajú AI agenti na komunikáciu s firemnými systémami. Anthropic tvrdí, že nejde o bug, ale o súčasť dizajnu.
Bezpečnostní výskumníci zverejnili analýzu zraniteľnosti v Model Context Protocole (MCP), ktorý slúži ako most medzi AI agentmi a firemnými dátami. Podľa zistení je takmer 200-tisíc verejne dostupných MCP serverov vystavených útokom typu prompt injection a path traversal.
Pre firmy, ktoré stavajú interných agentov nad MCP (a takých rýchlo pribúda), to znamená, že nemôžu spoliehať na štandardný protokol – musia si bezpečnostnú vrstvu postaviť samé.
Najrýchlejším riešením je nasadiť MCP servery len v internej sieti, vyžadovať autentifikáciu a striktne validovať všetky vstupy. Zverejnené servery na internete sú prakticky vždy zraniteľné.
„Najpodstatnejšie je, že Anthropic – ako tvorca štandardu – nepovažuje zistenie za bug. V oficiálnej reakcii uvádza, že protokol je zámerne navrhnutý ako otvorený a zodpovednosť za bezpečnosť leží na prevádzkovateľovi servera.“
Dopad na biznis
Každá firma využívajúca MCP agentov musí okamžite prehodnotiť svoju bezpečnostnú architektúru. Ignorovanie môže viesť k úniku celej databázy alebo vzdialenému spusteniu kódu.
Čo spraviť teraz
- Skryte všetky interné MCP servery za VPN alebo firewall.
- Zaveďte autentifikáciu a logovanie každého volania.
- Auditujte oprávnenia, ktoré agenti cez MCP majú.
Záver
Každá firma využívajúca MCP agentov musí okamžite prehodnotiť svoju bezpečnostnú architektúru. Ignorovanie môže viesť k úniku celej databázy alebo vzdialenému spusteniu kódu. Pre slovenské firmy odporúčame začať malým pilotom s jasnou metrikou a vyhodnotením po 4–6 týždňoch.
Často kladené otázky
Pre koho je táto novinka relevantná?
Najmä pre firmy, ktoré pracujú v oblasti ai nástroje pre firmy a hľadajú spôsoby, ako zefektívniť procesy s pomocou AI.
Aký je odporúčaný ďalší krok?
Začnite malým pilotom s jasne definovanou metrikou a vyhodnoťte ROI po 4–6 týždňoch.
Súvisiace články
Microsoft spustil Agent 365: prvá platforma, ktorá spravuje AI agentov ako zamestnancov
Microsoft predstavil Agent 365 — centrálnu platformu na správu, dohľad a zabezpečenie AI agentov v podnikoch. Pokrýva agentov od Microsoftu aj tretích strán a reaguje na rastúci problém nekontrolovaného šírenia autonómnych nástrojov vo firmách.
AI agent zmazal celú firemnú databázu za 9 sekúnd. Potom sa priznal: „Porušil som každý princíp“
Zakladateľ startupu sledoval, ako AI agent poháňaný Claudeom za necelých desať sekúnd vymazal kompletné dáta zákazníkov. Incident otvára otázku, či sú firmy pripravené zveriť kritické rozhodnutia autonómnym agentom.
Amazon spúšťa Quick: AI asistent, ktorý si pamätá vašu prácu naprieč e-mailom, kalendárom aj Slackom
Amazon predstavil desktopového AI asistenta s názvom Quick, ktorý si stavia osobný znalostný graf z firemných nástrojov a koná proaktívne. Pozeráme sa, čo to mení pre slovenské tímy.