Come la ricerca di Pynt ha validato i rischi di sicurezza MCP?

Golan Yosef ha validato il modello di rischio attaccando reali configurazioni MCP nel mondo, dimostrando che le vulnerabilità individuate possono essere effettivamente sfruttate nella pratica da attaccanti malintenzionati.

MCP: Rischi di Sicurezza | Vulnerabilità Compounding

Introduzione

Model Context Protocol (MCP) ha rivoluzionato il modo in cui i modelli linguistici si connettono a strumenti e fonti dati, ma una nuova ricerca di Pynt, azienda specializzata in sicurezza API, rivela che questa flessibilità ha un prezzo: la sicurezza. Lo studio analizza i rischi di 280+ server MCP popolari, scoprendo che le vulnerabilità crescono esponenzialmente quando i sistemi utilizzano più server contemporaneamente.

Il Problema: Vulnerabilità Crescenti nei Server MCP

MCP è stato lanciato da Anthropic a novembre 2024 e adottato rapidamente da OpenAI e Microsoft entro primavera 2025. Oggi il protocollo si connette a oltre 6.000 server, ma il design flessibile e modulare che lo rende popolare crea anche vulnerabilità significative. Il problema centrale: quando un sistema combina più server MCP, i rischi di sicurezza non si sommano linearmente, bensì si compongono in modo esponenziale.

Dati Allarmanti dalla Ricerca

Lo studio di Golan Yosef ha identificato pattern di vulnerabilità diffusi. Il 72% dei server testati espone almeno una capacità sensibile agli attaccanti, mentre il 9% è classificato come ad alto rischio. Il 13% dei server accetta input da fonti non sicure (email, chat, pagine web scrape), permettendo a attaccanti senza accesso diretto di consegnare testo malevolo che server downstream potrebbero interpretare come codice.

Come il Rischio Composto Cresce Rapidamente

La ricerca rivela un dato cruciale: il rischio di una configurazione vulnerabile aumenta drammaticamente con ogni server aggiunto, almeno inizialmente. Con 2 server, la probabilità di una configurazione vulnerabile raggiunge il 36%. Con 3 server sale al 52%. Con 5 server supera il 71%, e con 10 server si avvicina al 92%.

2 server MCP: 36% di probabilità di vulnerabilità
3 server MCP: 52% di probabilità
5 server MCP: 71% di probabilità
10 server MCP: 92% di probabilità

Attacchi Reali: Quando il Rischio Diventa Concreto

Lo studio di Pynt non è solo teorico. Yosef ha validato il suo modello di rischio attaccando configurazioni MCP nel mondo reale, dimostrando che è possibile sfruttare le vulnerabilità praticamente. Un esempio concreto: un plug-in web scraper ha recuperato HTML fornito da un attaccante, che un parser Markdown ha interpretato come comandi, eseguiti automaticamente da un plug-in shell senza autorizzazione dell'utente.

"Securing individual components is a tough task in its own right, but systems of MCP components must be secured at the system level."

Ricerca Pynt

Perché MCP Presenta Questi Rischi

MCP è stato progettato per supportare interazioni agentic open-ended e flessibili. Questa qualità lo rende potente, ma anche vulnerabile. La vulnerabilità nasce dall'interazione tra tre fattori:

Input da fonti non verificabili: Server MCP spesso processano dati da email, chat, Slack o pagine web, senza poter garantire che l'origine sia sicura.
Azioni potenti: Molti server hanno accesso a capacità critiche come esecuzione di codice, accesso a file e chiamate API.
Mancanza di isolamento: Il flusso dati tra server non è sufficientemente controllato, consentendo a un server compromesso di influenzare gli altri.

L'Evoluzione della Sicurezza MCP

La sicurezza di MCP è stata affrontata solo parzialmente. Fino a marzo 2025, l'autenticazione era opzionale. Solo allora sono stati aggiunti framework di autorizzazione OAuth 2.1, che prevengono l'accesso non autorizzato ai server MCP. Tuttavia, questo non impedisce ai dati malevoli o malformati di fluire tra server e causare azioni indesiderate.

Strategie di Mitigazione: Come Proteggere i Sistemi MCP

I ricercatori suggeriscono che i developer mitighino il "rischio composizionale" attraverso tre approcci principali:

Minimizzare il numero di server: Usare solo i server MCP effettivamente necessari riduce la superficie di attacco.
Vincolare i permessi: Limitare rigorosamente ciò che ogni server è autorizzato a fare (code execution, file access, API calls).
Testare il flusso di dati: Verificare attentamente il trasferimento di dati tra server per identificare possibili vettori di attacco.

Il Divario tra Componenti Sicuri e Sistemi Sicuri

La sicurezza di MCP evidenzia un problema sistemico più ampio nell'AI: garantire la sicurezza di singoli componenti è difficile, ma proteggere interi sistemi è una sfida ancora maggiore. Un server singolarmente sicuro può diventare un vettore di attacco quando interagisce con altri server in modo imprevisto. La ricerca sottolinea che la sicurezza deve essere affrontata a livello di sistema, non solo a livello di componente.

Conclusione

MCP ha trasformato il modo in cui i modelli linguistici accedono a strumenti e dati, ma la ricerca di Pynt rivela che la convenienza ha un costo di sicurezza significativo. Con il 72% dei server che espone vulnerabilità e rischi che crescono fino al 92% con 10 server, gli sviluppatori non possono ignorare questi problemi. La buona notizia è che strategie di mitigazione pratiche esistono: usando solo i server necessari, vincolando i permessi e testando il flusso di dati, è possibile ridurre significativamente il rischio. Man mano che MCP continua a crescere oltre i 6.000 server attuali, la sicurezza a livello di sistema diventerà non solo una best practice, ma una necessità.

FAQ

Cos'è Model Context Protocol (MCP) e perché rappresenta un rischio di sicurezza?

MCP è un protocollo lanciato da Anthropic che connette modelli linguistici a strumenti e fonti dati. Rappresenta un rischio di sicurezza perché il suo design flessibile consente a più server di interagire in modo non controllato, creando vulnerabilità che si compongono esponenzialmente quando il numero di server aumenta.

Qual è la percentuale di server MCP vulnerabili secondo la ricerca?

Lo studio di Pynt ha trovato che il 72% dei server MCP testati espone almeno una capacità sensibile agli attaccanti, mentre il 9% è classificato come ad alto rischio. Il 13% accetta input da fonti non sicure, rendendo i sistemi vulnerabili ad attacchi indiretti.

Come crescono i rischi MCP quando si aggiungono più server?

Il rischio di una configurazione vulnerabile cresce rapidamente con ogni server aggiunto: 2 server = 36%, 3 server = 52%, 5 server = 71%, 10 server = 92%. Questo crescimento esponenziale mostra come il rischio composto diventa il vero problema nei sistemi multi-server.

Quali sono le tre strategie principali per proteggere i sistemi MCP?

I ricercatori consigliano di: (1) minimizzare il numero di server usati, (2) vincolare rigorosamente i permessi di ogni server limitando code execution, file access e API calls, e (3) testare il flusso di dati tra server per identificare vettori di attacco.

OAuth 2.1 ha risolto i problemi di sicurezza di MCP?

OAuth 2.1 è stato aggiunto a marzo 2025 per prevenire l'accesso non autorizzato ai server MCP, ma non risolve il problema di fondo: i dati malevoli o malformati possono ancora fluire tra server e causare azioni indesiderate senza autenticazione aggiuntiva.

Qual è un esempio reale di attacco MCP documentato dalla ricerca?

Un attaccante ha fornito HTML malevolo a un plug-in web scraper, che un parser Markdown ha interpretato come comandi, eseguiti automaticamente da un plug-in shell senza autorizzazione dell'utente. Questo dimostra come le vulnerabilità si sfruttano nella pratica tra server interconnessi.