APREX · EST. 2026
MCP eksploderte over natten — og ingen skjønte konsekvensene før det var for sent.
Da Anthropic i november 2024 slapp Model Context Protocol som en åpen standard, virket det som en teknisk kuriositet for spesielt interesserte. Atten måneder senere har protokollen over 200 000 aktive servere, støtte fra OpenAI, Google og Microsoft-støttede Cursor, og en sikkerhetssituasjon som holder bedriftssikkerhetsteam våkne om natten. Spørsmålet er ikke lenger om MCP vil prege AI-infrastrukturen. Spørsmålet er om noen rekker å sikre den.
Hva er egentlig MCP?
Model Context Protocol er — enkelt sagt — en felles «stikkontakt» for AI. Tenk deg en AI-assistent som skal hente data fra en database, sende en e-post, lese en fil og deretter kalle et betalings-API. Uten MCP måtte utviklerne skrive skreddersydd integrasjonskode for hvert eneste verktøy, for hver eneste AI-modell. Med MCP definerer man én server som eksponerer verktøyene, og enhver kompatibel AI-klient kan bruke dem.
Det er her USB-C-analogien kommer inn — og hvor den også halter.
> PULLQUOTE: «USB-C løser fysisk tilkobling. MCP løser logisk tilkobling. Men ingen av dem løser spørsmålet om du kan stole på det som sitter i den andre enden.»
Slik fungerer arkitekturen
MCP-arkitekturen har to kjernedeler:
| Komponent | Rolle | Eksempel |
|---|---|---|
| MCP-klient | Kjører inne i AI-applikasjonen | Claude Desktop, ChatGPT, Cursor |
| MCP-server | Tilbyr verktøy og data til agenten | Filsystem, database, betalings-API |
Klienten oppdager tilgjengelige servere automatisk og ruter forespørsler mellom AI-modellen og de eksterne verktøyene. Serverne definerer sine egne verktøy via JSON-skjemaer som modellen kan lese og forstå direkte.
Protokoller støtter tre hoveddmønstre, ifølge den offisielle MCP-spesifikasjonen:
TIMELINE: Fra idé til infrastruktur
November 2024 — Anthropic lanserer MCP som åpen standard. Claude Desktop er første klient.
Q1 2025 — OpenAI adopterer MCP i ChatGPT desktop-appen. Cursor og Zed følger etter.
Q3 2025 — Vercel integrerer MCP i sin agentplattform. Antall offentlige servere passerer 10 000.
November 2025 — Google annonserer MCP-støtte i Gemini på Search IO 2026-konferansen.
April 2026 — Over 200 000 aktive MCP-servere globalt. Sikkerhetsforskere begynner å varsle.
Hvem bruker det — og til hva?
Listen over MCP-adoptanter leses som en hvem er hvem i tech. OpenAI bruker protokollen i ChatGPT for agentic commerce — shopping, bestillinger og betalinger direkte i samtaleflaten. Anthropic bruker den i Claude Code for å gi AI-assistenten tilgang til kodebaser og terminalen. Vercel bygger serverløs MCP-infrastruktur for nettapplikasjoner. Cursor gir kodere AI-agenter som kan lese og skrive filer direkte i prosjektet.
Men hva kan en MCP-server egentlig gjøre? Svarene er vidtrekkende: filsystemtilgang, SQL-databasespørringer, e-postutsendelse, webhook-kall, betalingsbehandling og API-integrasjoner. En enkelt MCP-server kan i prinsippet gi en AI-agent tilgang til alt en menneskelig ansatt ville hatt.
KEYFIGURE
200 000 aktive MCP-servere globalt per april 2026
73 % av enterprise AI-systemer med ekstern tilgang er sårbare for prompt injection (Palo Alto Unit 42, mai 2026)
0 sentrale sertifiseringsorganer for MCP-servere finnes per i dag
Det MCP ikke løser
Her er det industrien snakker for lite om.
MCP standardiserer tilkobling. Det standardiserer ikke tillit. En kompromittert MCP-server kan returnere manipulerte data, utføre uautoriserte handlinger eller lede en AI-agent til å gjøre noe brukeren aldri hadde godkjent. Angrepsvektoren kalles «tool poisoning» — og ifølge sikkerhetsforskning publisert på arXiv i mai 2026 er den undervurdert i nesten alle produksjonsmiljøer.
Palo Alto Networks' Unit 42 publiserte i mai 2026 en analyse som slo fast at 73 prosent av enterprise AI-systemer med ekstern tilgang er sårbare for prompt injection. MCP-servere er spesielt utsatte fordi de typisk kjøres med høye systemprivilegier.
> HIGHLIGHT: Standardprotokollen mangler fire kritiske sikkerhetsfunksjoner: ingen sentral sertifisering av servere, ingen standardisert logging, ingen innebygd sandboxing, og ingen obligatorisk tillatelsesstyring. Disse hullene er ikke tekniske feil — de er bevisste designvalg som prioriterte adopsjonshastighet.
De fleste MCP-servere i dag kjøres lokalt eller i utviklingsmiljøer. Enterprise-utrulling med skikkelige sikkerhetstiltak er fortsatt unntaket, ikke regelen, ifølge produksjonsmønster-analysen publisert på arXiv i mars 2026.
EU AI Act setter fristen
Fra august 2026 krever EU AI Act at høyrisiko AI-systemer har fullstendig logging og revisjonsspor. Det treffer direkte MCP-baserte agenter som håndterer sensitiv data — kunderegistre, helsedata, finanstransaksjoner. Organisasjoner som ikke kan dokumentere hva agenten deres gjorde, via hvilken MCP-server og med hvilke tillatelser, risikerer betydelige bøter.
Dette er bransjens neste store hodepine, og tidsplanen er allerede knapp.
Erstatter MCP APIer?
Kort svar: nei. MCP er komplementært til eksisterende API-infrastruktur. Protokollen endrer ikke hvordan backend-systemer kommuniserer med hverandre — den standardiserer hvordan AI-modeller oppdager og bruker disse systemene. Tenk på det som et navigasjonslag på toppen av eksisterende motorveier, ikke en ny motorvei.
BOTTOM LINE
MCP er ekte infrastruktur, ikke hype. Protokollen løser et reelt problem: AI-agenter trenger en standardisert måte å snakke med verden på, og MCP leverer det. 200 000 aktive servere på atten måneder er et sjeldent tegn på organisk adopsjon i enterprise-tech.
Men veksten har løpt fra sikkerheten. Manglende sertifisering, ingen obligatorisk logging og null innebygd sandboxing gjør hvert koblingspunkt til et potensielt angrepsflate. EU AI Act setter en hard deadline i august 2026. Industrien har knapt tid til å komme seg.
MCP er USB-C for AI. Men akkurat som du ikke stoler blindt på en ukjent lader, bør du ikke stole blindt på en ukjent MCP-server.
Verifisert mot 6 åpne primærkilder.