poniedziałek, 13 lipca 2026

Nowości

Ktoś masowo skanuje sieć w poszukiwaniu niezabezpieczonych serwerów MCP

ProgramowaniePatryk Raba
Fot. Tima Miroshnichenko, Pexels (Pexels License)

Analitycy SANS Internet Storm Center namierzyli rozproszoną kampanię skanującą internet w poszukiwaniu otwartych serwerów MCP, plików z poświadczeniami asystentów AI i niezabezpieczonych punktów końcowych modeli językowych.

Spis treści
  1. Jak wygląda skanowanie
  2. Co jest stawką
  3. Skala problemu w liczbach
  4. Znaczenie dla firm

Analitycy SANS Internet Storm Center opisali w poniedziałek rozproszoną kampanię skanowania internetu, której celem są serwery Model Context Protocol, pliki z poświadczeniami asystentów kodujących AI oraz niezabezpieczone punkty dostępowe modeli językowych. Skanowanie nie jest przypadkowe, lecz precyzyjnie ukierunkowane na infrastrukturę, która w ostatnich miesiącach masowo pojawiła się w firmach wdrażających agentów AI.

Model Context Protocol to standard, który w ciągu ostatniego roku stał się domyślnym sposobem podłączania agentów AI do zewnętrznych narzędzi, baz danych i systemów firmowych. Popularność MCP wśród twórców agentów kodujących i asystentów biurowych sprawiła, że serwery obsługujące ten protokół zaczęły masowo trafiać do internetu, często bez podstawowego uwierzytelniania.

Jak wygląda skanowanie

Santander Peláez przeanalizował ruch trafiający na pojedynczy, niewielki serwer WWW obsługujący WordPressa i kilka własnych aplikacji. Wśród setek żądań wyłowił około 200 próśb związanych bezpośrednio z infrastrukturą AI, rozłożonych na 14 dni. Kluczowym sygnałem było to, że część zapytań kierowanych pod adres /mcp nie była przypadkowym szumem sieciowym, lecz poprawnie sformatowanym wywołaniem initialize w formacie JSON-RPC 2.0, właściwym dla protokołu MCP.

Próby POST na /mcp różniły się od reszty ruchu, niosły poprawne ciało JSON-RPC 2.0 - Manuel Humberto Santander Peláez, SANS Internet Storm Center

Zapytania tego typu napłynęły z 49 różnych adresów IP, co według badacza wyklucza działanie pojedynczego skryptu testowego i wskazuje na szeroką, rozproszoną kampanię rozpoznawczą. Równolegle skanujący sprawdzali obecność plików konfiguracyjnych typowych dla popularnych asystentów kodujących, wysyłając najpierw zapytania HEAD, by bez pobierania całej zawartości ustalić, czy plik w ogóle istnieje.

Co jest stawką

Serwer MCP bez uwierzytelniania to, jak ujął to badacz SANS, gotowe menu wszystkiego, do czego dostęp ma dany agent AI, podane każdemu, kto poprawnie wykona handshake protokołu. W praktyce oznacza to, że atakujący może zobaczyć i potencjalnie wykorzystać te same narzędzia, bazy danych czy systemy plików, które agent AI ma legalnie podłączone do swojej pracy.

To jest czytelne dla maszyn menu wszystkiego, czego agent może dotknąć, oferowane każdemu, kto dokończy handshake - Manuel Humberto Santander Peláez, SANS Internet Storm Center

Skanujący próbowali też innych wektorów, w tym ataków typu SSRF wymierzonych w usługi metadanych chmur, rotując parametry takie jak url, uri, path czy dest w nadziei na wykradnięcie tokenów dostępowych z instancji w Google Cloud. Testowano ponadto otwarte punkty końcowe modeli językowych, w tym zgodne z OpenAI API oraz lokalne instalacje Ollamy, które przy braku zabezpieczeń dają atakującemu darmową moc obliczeniową lub punkt zaczepienia do dalszych działań.

Skala problemu w liczbach

Skala zjawiska widoczna jest też w szerszych badaniach. Firma badawcza TrendAI przeanalizowała między listopadem 2025 a marcem 2026 niemal 9700 serwerów MCP indeksowanych w czterech głównych katalogach, w tym na GitHubie. Wynik: 2259 serwerów miało potwierdzone luki bezpieczeństwa, a łączna liczba wykrytych podatności sięgnęła niemal 5000. Najwięcej dotyczyło dowolnego dostępu do plików, odmowy usługi oraz wstrzykiwania poleceń, ale wśród nich znalazło się też 185 przypadków podatności na wstrzykiwanie promptów, zdolnych bezpośrednio zmieniać zachowanie agenta AI.

Szczególnie niepokojące jest ustalenie TrendAI, że odznaki weryfikacji, popularność czy aktywność commitów w repozytorium nie dają żadnej realnej ochrony. Zweryfikowane serwery notowały niemal identyczną liczbę problemów co te bez weryfikacji, co podważa poczucie bezpieczeństwa budowane wokół popularnych katalogów narzędzi MCP.

Znaczenie dla firm

Dla firm wdrażających agentów kodujących i asystentów biurowych oparte o MCP wnioski są konkretne. Badacze rekomendują blokowanie zapytań POST na ścieżki /mcp i /sse, jeśli dana usługa MCP w ogóle nie jest wystawiona publicznie, usuwanie plików konfiguracyjnych asystentów AI z katalogów dostępnych z zewnątrz, testowanie z zewnątrz, czy punkty końcowe modeli językowych nie są przypadkiem otwarte, oraz blokowanie zapytań do usług metadanych chmurowych, wraz z wymuszeniem nowszych, bezpieczniejszych wersji tych mechanizmów jak IMDSv2 w AWS.

Sprawa wpisuje się w szerszy trend ostatnich miesięcy, w którym badacze bezpieczeństwa regularnie opisują nowe wektory ataku wymierzone w agentów AI i narzędzia programistyczne oparte na dużych modelach językowych. W odróżnieniu od wcześniej opisywanych, nazwanych technik ataku, tym razem mowa nie o pojedynczej podatności, lecz o aktywnej, trwającej kampanii rozpoznawczej, która systematycznie mapuje, ile takiej infrastruktury stoi w internecie bez żadnej ochrony.

Źródła: Someone Is Scanning for Your MCP Servers and AI Assistant Credentials (isc.sans.edu), 4,982 Security Issues Expose 2,259 Public MCP Servers to AI Agent Attacks (cyberpress.org)

Udostępnij: