Snelle adoptie AI-agents legt structurele zwakte in MCP bloot

In dit artikel:

Het Model Context Protocol (MCP), bedoeld als standaard voor communicatie tussen AI-modellen en externe tools, blijkt een structureel beveiligingsrisico te hebben doordat authenticatie in veel implementaties optioneel was. Omdat beveiligingsinstellingen pas later werden toegevoegd, zijn tientallen tot honderden MCP-servers zonder toegangscontrole publiekelijk bereikbaar. Een recente scan vond 1.862 MCP-servers die geen enkele vorm van authenticatie vereisten; bij steekproeven reageerden deze servers zonder om inloggegevens te vragen, waardoor externe partijen dezelfde rechten kunnen krijgen als de AI-agent zelf.

De kwetsbaarheid wordt versterkt door de opkomst van agents als Clawdbot — persoonlijke AI-assistenten die via MCP e-mail kunnen beheren, bestanden openen en code uitvoeren. Ontwikkelaars zetten zulke agents vaak snel op VPS’en neer zonder de juiste beveiligingsconfiguratie, waardoor systemen met uitgebreide privileges direct vanaf het internet toegankelijk zijn. In de afgelopen zes maanden zijn meerdere kritieke lekken in MCP-gerelateerde tools blootgelegd (o.a. volledige systeemovername, willekeurige code-uitvoering en onbeperkte bestands toegang), en ook prompt-injectionaanvallen tonen aan hoe agents via gemanipuleerde documenten gevoelige data kunnen uitlezen en exfiltreren.

De snelle adoptie van AI-agents in de tweede helft van 2025 staat haaks op de vaak ontoereikende security-roadmaps voor 2026; detectietools herkennen MCP-processen meestal als legitiem. Zolang MCP-implementaties zonder strikte toegangscontrole blijven draaien, vormen ze een aantrekkelijk doelwit voor aanvallers. Organisaties doen er goed aan authenticatie en netwerkbeperkingen direct in te voeren, agents te monitoren en updates/patches voor MCP-ecosystemen strikt bij te houden.