{"id":1252,"date":"2026-04-20T10:07:55","date_gmt":"2026-04-20T08:07:55","guid":{"rendered":"https:\/\/vittrup-graversen.dk\/?p=1252"},"modified":"2026-04-20T10:07:55","modified_gmt":"2026-04-20T08:07:55","slug":"mcp-protokollen-har-en-arkitekturfejl-200-000-servere-i-fare","status":"publish","type":"post","link":"https:\/\/vittrup-graversen.dk\/index.php\/2026\/04\/20\/mcp-protokollen-har-en-arkitekturfejl-200-000-servere-i-fare\/","title":{"rendered":"MCP-protokollen har en arkitekturfejl: 200.000 servere i fare"},"content":{"rendered":"\n

Anthropics Model Context Protocol (MCP) har p\u00e5 rekordtid blevet standarden for, hvordan AI-modeller kommunikerer med eksterne v\u00e6rkt\u00f8jer. Over 150 millioner downloads, 7.000 offentligt tilg\u00e6ngelige servere og integration i stort set alle popul\u00e6re AI-udviklingsv\u00e6rkt\u00f8jer. Men en gruppe sikkerhedsforskere fra OX Security har nu afsl\u00f8ret en fundamental designfejl i protokollen, der potentielt s\u00e6tter op mod 200.000 servere i fare for fuld overtagelse.<\/p>\n\n\n\n

Og Anthropics reaktion? De kalder det “forventet adf\u00e6rd.”<\/p>\n\n\n\n

Hvad er fejlen, og hvorfor er den alvorlig?<\/h2>\n\n\n\n

Kernen i problemet ligger i MCP’s STDIO-transportmekanisme. N\u00e5r en AI-applikation starter en MCP-server som en underproces, bruger den standard input\/output (STDIO) til kommunikation. Det lyder uskyldigt nok, men i praksis betyder det, at vilk\u00e5rlige OS-kommandoer kan eksekveres uden tilstr\u00e6kkelig validering. Protokollen returnerer et “handle” n\u00e5r en kommando succesfuldt opretter en STDIO-server, men eksekverer ogs\u00e5 ikke-kompatible kommandoer, f\u00f8r den returnerer en fejl.<\/p>\n\n\n\n

Det er ikke en simpel bug i en enkelt implementation. Fejlen sidder i selve arkitekturen af Anthropics officielle MCP SDK’er p\u00e5 tv\u00e6rs af Python, TypeScript, Java og Rust. Alle sprog. Alle platforme.<\/p>\n\n\n\n

OX Security-teamet, ledet af forskerne Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok og Roni Bar, har siden november 2025 arbejdet sig igennem mere end 30 opdagelser (responsible disclosures). Resultatet er mindst 10 h\u00f8j- og kritisk-klassificerede CVE’er fordelt p\u00e5 popul\u00e6re open source-v\u00e6rkt\u00f8jer og AI-agenter.<\/p>\n\n\n\n

Fire angrebsvektorer, der rammer bredt<\/h2>\n\n\n\n

Forskerne identificerede fire distinkte familier af angreb, der alle udnytter den samme underliggende arkitekturfejl:<\/p>\n\n\n\n

1. Uautentificeret kommandoinjektion:<\/strong> Direkte eksekvering af bruger-kontrollerede kommandoer uden sanitering. I v\u00e6rkt\u00f8jer som LangFlow (alle versioner) og GPT Researcher (CVE-2025-65720) kan angribere opn\u00e5 fuld systemkompromittering via offentligt tilg\u00e6ngelige brugergr\u00e6nseflader.<\/p>\n\n\n\n

2. Omg\u00e5else af sikkerhedsh\u00e6rdning:<\/strong> Selv i “beskyttede” milj\u00f8er som Flowise (GHSA-c9gw-hvqq-f33r) kan angribere indirekte injicere kommandoer gennem tilladte kommandoargumenter. Et eksempel er npx -c <kommando><\/code>, der effektivt omg\u00e5r alle forsvarslag.<\/p>\n\n\n\n

3. Zero-click prompt injection:<\/strong> I AI-IDE’er som Windsurf (CVE-2026-30615) og Cursor p\u00e5virker brugerens prompts direkte MCP JSON-konfigurationen. Det kr\u00e6ver ingen aktiv handling fra offerets side. Ogs\u00e5 Claude Code og Gemini-CLI er s\u00e5rbare over for denne angrebstype.<\/p>\n\n\n\n

4. Forgiftning af MCP-markedspladser:<\/strong> Forskerne testede 11 MCP-registre og form\u00e5ede at “forgifte” 9 af dem med proof-of-concept-MCP’er. Det svarer til den type supply chain-angreb, vi kender fra npm og PyPI, men nu rettet mod AI-infrastruktur.<\/p>\n\n\n\n

Hvem er ramt?<\/h2>\n\n\n\n

Listen over s\u00e5rbare projekter er lang og inkluderer mange af de mest brugte AI-udviklingsv\u00e6rkt\u00f8jer: Cursor, Claude Code, Windsurf, Gemini-CLI, GitHub Copilot, LangFlow, GPT Researcher, Upsonic (CVE-2026-30625) og Flowise. Det er v\u00e6rkt\u00f8jer, som hundredtusindvis af udviklere bruger dagligt.<\/p>\n\n\n\n

Vi taler alts\u00e5 ikke om obskure nichev\u00e6rkt\u00f8jer. Det er selve rygraden i det agentiske AI-\u00f8kosystem, der er s\u00e5rbar. N\u00e5r MCP bruges som integrationsprotokol<\/a> i alt fra lokale udviklerv\u00e6rkt\u00f8jer til enterprise-setups, bliver angrebsfladen enorm.<\/p>\n\n\n\n

Anthropics kontroversielle reaktion<\/h2>\n\n\n\n

Det mest opsigtsv\u00e6kkende er m\u00e5ske Anthropics h\u00e5ndtering af sagen. Virksomheden afviste at \u00e6ndre protokollens arkitektur og betegnede adf\u00e6rden som “forventet.” I stedet opdaterede de deres sikkerhedsvejledning med en anbefaling om at “udvise forsigtighed med STDIO-adaptere.”<\/p>\n\n\n\n

Forskerne er ikke imponerede. Som de p\u00e5peger: “\u00c9n arkitektonisk \u00e6ndring p\u00e5 protokolniveau ville have beskyttet hvert eneste downstream-projekt, hver udvikler og hver slutbruger, der stoler p\u00e5 MCP i dag.”<\/p>\n\n\n\n

Det er en velkendt dynamik i sikkerhedsverdenen. N\u00e5r en protokoldesigner siger “det er brugerens ansvar at sikre koden,” skubber de reelt sikkerhedsbyrden ned til tusindvis af individuelle udviklere, der hver is\u00e6r skal genopdage og l\u00f8se det samme grundl\u00e6ggende problem. Det er en strategi, der historisk set aldrig har fungeret.<\/p>\n\n\n\n

Til sammenligning: da lignende fundamentale s\u00e5rbarheder blev fundet i andre protokoller og frameworks, var normen at fikse det i selve protokollen. T\u00e6nk p\u00e5 TLS-opdateringer eller Pythons h\u00e5ndtering af XML-parsing-s\u00e5rbarheder. MCP-sagen bryder med den norm.<\/p>\n\n\n\n

Perspektiv: hvad betyder det for udviklere?<\/h2>\n\n\n\n

Hvis du bruger MCP-baserede v\u00e6rkt\u00f8jer i dit udviklingsmilj\u00f8, er der flere ting at overveje:<\/p>\n\n\n\n

Gennemg\u00e5 dine MCP-servere.<\/strong> K\u00f8r kun MCP-servere fra kilder, du stoler p\u00e5. Marketplace-forgiftning er reelt, og 9 ud af 11 registre var s\u00e5rbare.<\/p>\n\n\n\n

Isol\u00e9r MCP-processer.<\/strong> K\u00f8r dem i sandboxed milj\u00f8er hvor muligt. Docker-containere eller dedikerede brugerkonti med minimale rettigheder kan begr\u00e6nse skadens omfang.<\/p>\n\n\n\n

Hold \u00f8je med CVE’er.<\/strong> De 10 offentliggjorte CVE’er er formentlig kun toppen af isbjerget. Flere afsl\u00f8ringer vil sandsynligvis f\u00f8lge.<\/p>\n\n\n\n

Overvej alternativ transport.<\/strong> Hvor det er muligt, brug HTTP-baseret transport i stedet for STDIO. Det eliminerer ikke alle risici, men fjerner den mest direkte angrebsvektor.<\/p>\n\n\n\n

MCP har p\u00e5 kort tid opn\u00e5et en dominerende position som integrationsstandard for AI-agenter<\/a>. Men med den position f\u00f8lger et ansvar for at tage sikkerhed alvorligt p\u00e5 protokolniveau. Lige nu l\u00e6gger Anthropic det ansvar fra sig, og det er et problem, der kun vokser, jo flere der adopterer standarden.<\/p>\n\n\n\n

Kilder<\/h2>\n\n\n\n