> BILDEPROMPT (HERO): Close-up of a developer's hands typing on a mechanical keyboard in a dimly lit home office, multiple terminal windows open on screen showing JSON data streams, soft morning warmth, photorealistic editorial, mild sensor grain, documentary texture, no text, no logos.

Anthropic bygde motorveien. Så lot de hvem som helst kjøre uten førerkort.

Da Anthropic i november 2024 slapp Model Context Protocol (MCP), presenterte de det som en liten teknisk spesifikasjon. Ingen fanfare. Ingen keynote. Bare et GitHub-repo og en bloggpost. Atten måneder senere er protokollen ryggraden i hundretusenvis av AI-installasjoner verden over — og en angrepsflate som ifølge sikkerhetsfirmaet OX Security er «mor til alle AI supply chain-angrep» (OX Security, april 2026).

MCP er blitt AI-økosystemets USB-C. 200 000 servere ble hacket i april. - Bilde 1

Hva er egentlig MCP?

MCP er en JSON-RPC 2.0-basert protokoll. Enkelt forklart: den standardiserer samtalen mellom en AI-klient (som Claude eller Cursor) og et eksternt verktøy eller en datakilde.

Tenk USB-C for AI. Før MCP måtte hver utvikler skrive skreddersydd integrasjonskode for hvert verktøy. Med MCP er grensesnittet alltid det samme.

Serveren eksponerer tre typer primitiver:

  • Tools — funksjoner AI-modellen kan kalle direkte
  • Resources — data modellen kan lese
  • Prompts — forhåndsbygde maler for spesifikke oppgaver

Klienten eksponerer to typer primitiver:

  • Sampling — serveren kan be klienten om å kjøre et nytt LLM-kall
  • Roots — serveren kan spørre hvilke filer eller URIer brukeren har autorisert

Dette gjør MCP til noe mer enn en enkel API-innpakning. Det er et toveis kommunikasjonsrammeverk der servere aktivt kan styre klientens oppførsel.

| SAMMENLIGNINGSTABELL: MCP vs. tradisjonell API-integrasjon |

EgenskapTradisjonell APIMCP
IntegrasjonskodeSkreddersydd per verktøyStandardisert én gang
RetningEnveis (klient ber server)Toveis (server kan styre klient)
AI-kontekstIngen innebygd støtteNativ, med Sampling og Roots
AutentiseringOAuth/API-nøkkel (varierer)OAuth 2.1 (spesifisert mid-2025)
TransportHTTP/RESTstdio, Streamable HTTP
AdopsjonstidUker per integrasjonTimer per integrasjon
SikkerhetsstatusModentUnder utvikling

Fra Anthropic til Linux Foundation på 13 måneder

> 🕐 TIMELINE

>

> November 2024 — Anthropic lanserer MCP som åpen spesifikasjon. Støtte i Claude Desktop fra dag én.

>

> Mid-2025 — OAuth 2.1 spesifisert for remote transport. SSE-transport markeres som «deprecated». Streamable HTTP blir anbefalt standard.

>

> Desember 2025 — Anthropic donerer MCP til Linux Foundation under paraplyen Agentic AI Foundation (AAIF). Grunnleggere: Anthropic, Block og OpenAI. Google, Microsoft, AWS, Cloudflare og Bloomberg erklærer støtte. SDK-nedlastinger passerer 97 millioner per måned.

>

> 15. april 2026 — OX Security publiserer advisory «The Mother of All AI Supply Chains». 200 000 servere potensielt sårbare. 14 CVE-er tildelt. Anthropic svarer: «forventet oppførsel».

>

> Mai-juni 2026 — MCP Tasks, A2A (Agent-to-Agent) og Capability Attestation kunngjøres som neste generasjons utvidelser under AAIF.

Overgangen til Linux Foundation var ikke symbolsk. Den signaliserte at MCP ikke lenger tilhørte Anthropic — det tilhører bransjen. Under AAIF ligger nå også goose (Blocks agent-runtime) og AGENTS.md (OpenAIs standardformat for agent-instruksjoner). Det er et forsøk på å bygge en felles infrastruktur for agentbasert AI, uavhengig av hvilken modell som kjører under panseret (itecs.ai, 2026).

Tallene som forklarer hypen

> 📊 KEYFIGURE

>

> 150 millioner+ totale SDK-nedlastinger per april 2026

>

> 10 000+ aktive offentlige MCP-servere globalt

>

> 6 store plattformer med førsteklasses støtte: ChatGPT, Claude, Gemini, Microsoft Copilot, Cursor, VS Code

Veksten er rå. Fra null til infrastruktur på under halvannet år. Men tallene skjuler et problem: ifølge analyseselskapet Rapid Claw er 52 prosent av alle MCP-servere inaktive. Og 86 prosent kjører på utviklerlaptoper — ikke i produksjonsmiljøer med skikkelig sikkerhet. Bare fem prosent av serverne er å finne i faktiske produksjonssystemer (Rapid Claw, via birjob.com, 2026).

> «200 000 servere potensielt kompromitterbare. Anthropic kalte det forventet oppførsel.»

> — OX Security advisory, 15. april 2026

Sikkerhetskrisen ingen ville eie

Den 15. april 2026 publiserte OX Security en teknisk advisory med en tittel som ikke etterlot mye til fantasien: «The Mother of All AI Supply Chains».

Problemet: SDK-ene for Python, TypeScript, Java og Rust aksepterer kommandoer og argumenter som sendes direkte videre til subprocess-kall uten sanitering. En angriper som kontrollerer en MCP-server kan i praksis eksekvere vilkårlig kode på klientmaskinen.

OX Security estimerte at 200 000 servere var potensielt sårbare, hvorav 7 000 var offentlig eksponert på det åpne internett. Fjorten CVE-er ble tildelt. Blant produktene som ble rammet: LiteLLM, LangFlow, Windsurf, Cursor, Flowise, DocsGPT og GPT Researcher (OX Security, pasqualepillitteri.it, 2026).

Anthropics respons? På spansk ble det sitert som «comportamiento esperado» — «forventet oppførsel». Ikke en feil. En designbeslutning.

Det utløste raseri i sikkerhetsmiljøet.

> 🔍 FAKTABOKS: De fire største sikkerhetsrisikoene i MCP

>

> 1. Tool Poisoning — En ondsinnet server kan endre sin egen verktøy-schema mellom sesjoner. Siden MCP ikke har innebygd versjons-pinning, oppdager ikke klienten endringen.

>

> 2. Supply Chain-angrep — MCP-servere distribueres via npm og PyPI. En kompromittert pakke spres automatisk til alle som bruker den. Risikoen er eksponensielt høyere enn tradisjonelle pakker fordi serverne kjøres med høye rettigheter.

>

> 3. Autentiseringsgap — Selv om OAuth 2.1 er spesifisert for remote transport, finnes det ingen standardisert rammeverk for autentisering på tvers av alle MCP-implementasjoner.

>

> 4. OWASP-klassifisering — MCP-spesifikke angrep er nå katalogisert som MCP04:2025 i OWASPs rammeverk for AI-sikkerhet (OWASP / examcert.app, 2026).

Hvem dropper MCP — og hvem holder fast?

Perplexity AI tok et offentlig steg tilbake. Selskapets egne analyser viste at MCP-integrasjoner spiste 72 prosent av tilgjengelig kontekstvindu — en ytelseskostnad de ikke var villige til å betale (Perplexity, via birjob.com, 2026).

Men for de fleste store aktører er alternativet verre enn problemet. Block og Sourcegraph har svart på sikkerhetsutfordringene ved å bygge interne MCP-gateways — dedikerte proxyer som håndterer autentisering, logging og rate limiting før trafikken når frem til individuelle servere. Leverandører som Zuplo, MintMCP og Stackone selger nå slike enterprise-løsninger kommersielt.

Anthropics eget råd fra november 2025 peker i en annen retning: kodeeksekvering bør være primærmodusen for AI-konsumering av data — ikke lesing av statiske dokumenter. Ytelsesmålingene skal vise dramatisk forbedring når agenter får lov til å skrive og kjøre kode fremfor å prosessere rå tekst (anthropic.com, 2025).

> 💡 HIGHLIGHT

>

> Hva kommer etter MCP? Tre konsepter dominerer diskusjonen i 2026:

> - MCP Tasks — støtte for langvarige, asynkrone oppgaver. Bekreftet av Anthropics David Soria Parra.

> - A2A (Agent-to-Agent) — protokoll for direkte kommunikasjon mellom agenter, under samme Linux Foundation-paraply som MCP.

> - Capability Attestation — signerte manifester som kryptografisk beviser hva en server faktisk kan gjøre, designet for å løse tool poisoning-problemet.

Hva betyr dette for deg?

Hvis du er utvikler som bruker MCP-servere i dag: oppdater alle SDK-er umiddelbart, pin verktøy-versjoner eksplisitt, og aldri kjør ukjente MCP-servere med administratorrettigheter.

Hvis du er enterprise-arkitekt: en intern MCP-gateway er ikke luksus — det er minimumskrav for forsvarlig drift.

Hvis du bare vil forstå hvorfor alle snakker om MCP: tenk på det som lydkortet i PC-en din. Du tenker aldri på det. Helt til det slutter å fungere.

BOTTOM LINE

MCP er reell infrastruktur, ikke hype. Protokollen har løst et genuint problem — AI-agenter trengte et felles språk for å snakke med verden — og bransjen har svart med massiv adopsjon. Men veksten kom raskere enn sikkerhetsmodellen. OX Securitys funn fra april 2026 er ikke et argument mot MCP. Det er et argument for å ta det seriøst nok til å sikre det skikkelig. Linux Foundation har nå ansvaret. Neste tolv måneder vil avgjøre om MCP blir internettets neste SSL-lag — eller neste Log4j.

Verifisert mot 10 åpne primærkilder.

> BILDEPROMPT (BODY): Wide-angle shot of a modern open-plan tech office, rows of monitors showing network topology diagrams and code, overcast Nordic daylight through floor-to-ceiling windows, clean overcast daylight, photorealistic editorial, documentary texture, no text, no logos, empty chairs suggesting urgency and late hours.