APREX · EST. 2026
> HERO IMAGE PROMPT: A dimly lit server room corridor stretching into darkness, a single engineer standing in silhouette before racks of blinking blue indicator lights, documentary-style, photorealistic editorial, mild sensor grain, bright Nordic daylight filtering through a high frosted window, no text, no logos
En protokoll som ingen spurte om tillatelse til å bli kritisk infrastruktur, er nå bindeleddet mellom verdens mest kraftfulle AI-agenter og alt fra bedriftens kildekode til ansattes personlige meldingshistorikk. Model Context Protocol, MCP, ble lansert av Anthropic i november 2024. Ni måneder senere passerte den 200 000 servere i produksjon. Ingen ba noen sette opp en sikkerhetssjekk ved døren.
Nå betaler bransjen prisen.
Hva er MCP — og hvorfor er det overalt?
MCP er en åpen standard som lar store språkmodeller kommunisere med eksterne verktøy og datakilder på en strukturert måte. Tenk på det som USB-C for AI: én universell kobling der agenten din kan nå filsystemet, databasen, GitHub, Slack, e-post og hundrevis av andre tjenester gjennom det samme grensesnittet.
Før MCP måtte hvert verktøy ha sin egen integrasjon. MCP standardiserte koblingen. Det forklarer den eksplosive veksten. Det forklarer også problemet: et enkelt angrepspunkt som gir tilgang til alt.
Ifølge analyse fra Instatunnel og Pipelab ble omtrent 7 000 MCP-servere funnet eksponert direkte mot internett tidlig i 2026 — omtrent halvparten av alle kjente deployments på det tidspunktet. En stor andel opererte uten autentiseringskontroller overhodet.
KEYFIGURE
| Tall | Hva det betyr |
|---|---|
| 200 000+ | MCP-servere i produksjon etter ni måneder |
| 85 % | Angrepssuksessrate mot state-of-the-art forsvar ved adaptive strategier |
| 88 % | Andel open-source MCP-servere som krever credentials for å fungere |
| 53 % | Av disse som bruker usikre, langtlevende statiske hemmeligheter |
Åtte måter noen kan bruke MCP mot deg
I mars 2026 publiserte forskere på arXiv en systematisk analyse av tusenvis av MCP-servere. De fant åtte distinkte sårbarhetstyper. 7,2 prosent av serverne hadde generelle sikkerhetsfeil. 5,5 prosent viste tegn til aktiv tool poisoning.
Her er de viktigste angrepsvektorene, forklart for deg som ikke er sikkerhetsekspert:
1. Tool Poisoning
Dette er den mest usynlige og mest insidiøse risikoen. En angriper skjuler ondsinnede instruksjoner i selve beskrivelsesteksten til et MCP-verktøy. Brukeren ser aldri denne teksten — mange MCP-klienter trunkerer eller skjuler lange verktøybeskrivelser i brukergrensesnittet. Men AI-agenten leser alt. Den følger instruksjonene. Invariant Labs demonstrerte et proof-of-concept der en ondsinnet MCP-server hentet ut en brukers fulle WhatsApp-historikk ved å legge ondsinnede instruksjoner i verktøybeskrivelsen.
2. Rug Pull
En MCP-server du installerte og stolte på, byttes stille ut med en ondsinnet versjon. De fleste MCP-klienter spør ikke brukeren på nytt etter første installasjon. Den nye, farlige serveren kjører i bakgrunnen uten at noen varsler deg. September 2025 ble den første kjente in-the-wild-versjonen dokumentert: npm-pakken postmark-mcp ble oppdaget med skjult bakdør.
3. Cross-Server Tool Shadowing
En ondsinnet server registrerer verktøy med navn som ligner på en betrodd servers verktøy. AI-agenten verifiserer ikke hvilken server den faktisk snakker med. Kall ment for den trygge serveren avlyttes og kapres.
4. Cross-Tool Privilege Escalation
To tilsynelatende ufarlige MCP-servere kombineres på en måte der data kan eksfiltreres på tvers av grenser som ingen av dem alene kunne nå. Én agent kobler for eksempel Jira og et sky-analyseverktøy — gjennom en kjede av verktøykall lekker sensitiv informasjon på tvers uten at noen enkelt handling ser alarmerende ut.
5. Prompt Injection via Data
Ondsinnet innhold gjemmes i dokumenter, tickets eller databaseposter. Når agenten henter disse via MCP og legger dem i kontekstvinduet, tolker modellen innholdet som instruksjoner. Invariant Labs viste at en ondsinnet GitHub Issue kunne instruere agenten til å eksfiltrere innhold fra private repoer via GitHub MCP-serveren, som har over 14 000 GitHub-stjerner.
6. Kommandoinjeksjon
Mange MCP-servere sender brukerinput direkte videre til shell-kommandoer. CVE-2025-6514, som rammer mcp-remote OAuth-proxyen med en CVSS-score på 9.6, er et klassisk eksempel. Pakken var lastet ned 437 000 ganger da sårbarheten ble avdekket. Full RCE — fjernkjøring av vilkårlig kode — var mulig.
7. Rug-pull via IDE-integrasjon
CVE-2025-54136 i Cursor IDE (MCPoison) og CVE-2025-59536 i Claude Code viste at angripere kan oppnå kodekjøring gjennom konfigurasjonsfiler og hooks som kjører før tillitstjenesten i klienten rekker å advare brukeren.
8. Design-sårbarhet i selve protokollen
I april 2026 ble det avdekket en RCE-feil (CVE-2026-30623) som truer alle 200 000+ MCP-deployments via LiteLLM. Anthropic nektet å eie feilen som en "design flaw" i protokollen. Diskusjonen om hvem som har ansvaret, pågår fortsatt.
SAMMENLIGNINGSTABELL: Viktige MCP-CVE-er
| CVE | CVSS | Mål | Konsekvens |
|---|---|---|---|
| CVE-2025-6514 | 9.6 | mcp-remote OAuth proxy | Full RCE, 437 000 nedlastninger berørt |
| CVE-2025-68143/44/45 | Ikke publisert | Anthropics offisielle Git MCP-server | Path traversal, argument injection |
| CVE-2025-59536 | 8.7 | Claude Code hooks | RCE via .claude/settings.json |
| CVE-2025-54136 | Ikke publisert | Cursor IDE | Persistent kodekjøring via MCPoison |
| CVE-2026-30623 | Ikke publisert | LiteLLM / MCP-design | RCE mot 200 000+ servere |
> BODY IMAGE PROMPT: A close-up of a developer's hands typing on a laptop keyboard in a modern open-plan office, screen reflected faintly in glasses, shallow depth of field, photorealistic editorial, soft morning warmth, clean overcast daylight, no text, no logos
HIGHLIGHT
88 prosent av alle open-source MCP-servere krever innloggingsinformasjon for å fungere. Over halvparten av disse lagrer hemmeligheter som langtlevende API-nøkler og personal access tokens — direkte i konfigurasjonen. Én kompromittert server kan gi angriperen nøklene til alt agenten kan nå.
Hvem advarer? Og hvem lytter?
OWASP publiserte i 2026 to separate topp-10-lister for MCP- og agentbaserte risikoer. OWASP MCP Top 10 (beta 2026), ledet av Vandana Verma Sehgal, katalogiserer alt fra token-misbruk og privilege escalation til shadow MCP-servere og kontekstinjeksjon.
Cloud Security Alliance ga ut sin Agentic MCP Security Best Practices v1 i mai 2026 — en omfattende veileder som dekker tool poisoning, rug pull, prompt injection og supply chain-angrep.
En akademisk meta-analyse som dekket 78 studier fra 2021 til 2026 tegnet et dystert bilde: Angrepssuksessraten mot state-of-the-art forsvar overstiger 85 prosent når angripere bruker adaptive strategier. 42 distinkte angrepsteknikker er katalogisert. 18 forsvarsmekanismer klarer ikke å mitigere mer enn halvparten av sofistikerte adaptive angrep.
FAKTABOKS: Slik ser forsvarssiden ut i 2026
Tilgjengelige verktøy:
- mcp-scan (Invariant Labs, open-source): Skanner MCP-serverdefinisjoner for kjente angrepsmønstre
- MCP Gateways: Sentraliserer routing, autentisering og policy-håndhevelse
- Fingeravtrykks-pinning og hash-pinning: Blokkerer rug pull ved å verifisere serveridentitet
- Response scanning: Analyserer hver MCP-respons for injektert innhold
- DLP på utgående argumenter: Hindrer eksfiltrering via verktøykall
- Sandboxing: Isolerer MCP-servere fra hverandre og fra kritiske systemer
Hva mangler:
Standardisert autentisering på protokollnivå. Automatisk oppdateringsverifisering. Bransjeomfattende krav til sikkerhetssertifisering av MCP-pakker.
TIMELINE: MCP fra lansering til sikkerhetskrise
- November 2024 — Anthropic lanserer Model Context Protocol som åpen standard
- August 2025 — CVE-2025-54136 avdekkes i Cursor IDE (MCPoison)
- September 2025 — Første in-the-wild ondsinnede MCP-server oppdaget: postmark-mcp npm-pakke med skjult bakdør
- Januar–februar 2026 — 30+ CVE-er registrert på to måneder; 43% er exec/shell injection-sårbarheter
- Mars 2026 — arXiv-analyse av tusenvis av servere finner åtte sårbarhetstyper; 7 000 servere eksponert mot internett uten autentisering
- April 2026 — CVE-2026-30623 avdekkes; Anthropic nekter å eie design-feilen
- Mai 2026 — CSA publiserer Agentic MCP Security Best Practices v1
PULLQUOTE
> "Nesten 2 000 offentlig tilgjengelige MCP-servere ble skannet — og hver eneste verifiserte instans ga tilgang til interne verktøylistinger uten autentisering."
> — Unicrew sikkerhetsstudie, 2026
Hva kan du gjøre nå?
For utviklere og bedrifter som allerede bruker MCP-agenter, er rådene fra CSA og sikkerhetsforskerne klare: Installer ikke MCP-pakker uten å verifisere leverandøren. Bruk kortlevde tokens, ikke statiske API-nøkler. Deploy mcp-scan i CI/CD-pipeline. Krev en MCP Gateway mellom agenten og serverne. Skann alle MCP-responser for injektert innhold. Aktiver hash-pinning for godkjente serverdefinisjoner.
For de som bare er nysgjerrige på hva AI-agentene faktisk gjør bak kulissene: Svaret er mer enn de fleste er klar over.
BOTTOM LINE
MCP er ikke et prosjekt i beta. Det er allerede kritisk infrastruktur for AI-agenter i produksjon hos tusenvis av bedrifter. Protokollen vokste så raskt at sikkerhetsrammeverket aldri rakk å henge med. Åtte dokumenterte angrepsvektorer, over 30 CVE-er på to måneder, og en forsiktig akademisk konklusjon om at 85 prosent av forsvarene ikke holder mot sofistikerte angrep — det er ikke en fremtidig trussel. Det skjer nå. Spørsmålet er ikke lenger om MCP-agentene dine er eksponert. Spørsmålet er om noen har sjekket.
Verifisert mot 10 åpne primærkilder.
Kilder: arxiv.org/abs/2603.21642 · arxiv.org/abs/2601.17548 · pipelab.org · aminrj.com · instatunnel.my · venturebeat.com · labs.cloudsecurityalliance.org · unicrew.com · securie.ai · ismatsamadov.com