49 ulike IP-adresser sto bak MCP-håndtrykkene som Manuel Humberto Santander Peláez, handler ved SANS Internet Storm Center, fant da han gikk gjennom 14 dager med Apache- og ModSecurity-logger fra én liten webserver. Verten er ikke noe høyverdig mål: en WordPress-side, et par små backends, en statisk side. Den kjører verken MCP-server, lokal modell eller KI-assistent. Den ble skannet etter alle tre likevel.
Det spesielle er at probene faktisk snakker protokollen. Hver POST /mcp bar en gyldig JSON-RPC 2.0-kropp med et initialize-kall og protokollversjon 2025-03-26. Boten venter på svar, og svarer noe i den andre enden som en MCP-server, er neste steg å enumerere verktøyene og datakildene den eksponerer. MCP-håndtrykkene kom fra flere ulike kilder enn noen annen kategori i datasettet. Til sammen utgjorde MCP-prober, LLM-prober og fisking etter KI-nøkkelfiler rundt 200 forespørsler.
«En eksponert MCP-server er en maskinlesbar meny over alt en agent kan gjøre, servert til hvem som helst som fullfører håndtrykket.» — Manuel Humberto Santander Peláez, handler, SANS Internet Storm Center
Ordlisten er fersk. Skannerne ba om /.cursor/mcp.json, /.vscode/mcp.json og /.claude/settings.local.json, og de brukte HEAD mot /.claude/.credentials.json. HEAD returnerer bare headere, ikke innhold: boten sjekker om filen finnes før den bruker båndbredde på å laste den ned. Det er en optimalisering du bare bygger når du skanner svært mange verter og regner med bom på de fleste. To andre signaturer gikk igjen: GET /v1/models, det OpenAI-kompatible endepunktet, og GET /api/tags, som lister modellene i en Ollama-installasjon.
Skanningen har noe å finne. Censys talte 12 520 MCP-tjenester på 8 758 IP-adresser 28. april 2026, og over 21 000 servere drøyt en uke senere. 89,4 prosent av dem kjørte protokollversjon 2025-03-26, nøyaktig den versjonen boten i SANS-loggene oppga. SentinelLABS og Censys har tidligere funnet rundt 175 000 eksponerte Ollama-verter i 130 land. Ollama binder seg til localhost som standard, men havner ofte på nettet ved et uhell.
«Organisasjoner ser ut til å rulle ut disse systemene raskere enn de bygger forståelsen og sikkerhetskontrollene som trengs for å drifte dem trygt.» — Mark Ellzey, Principal Security Researcher, Censys
For deg som bygger agenter hjemme er det siste funnet verdt å lese to ganger. Skannerne rullerte SSRF-prober mot skyens metadata-tjeneste gjennom parameternavnene url, uri, path og dest. De leter etter et hvilket som helst endepunkt som henter en URL du gir det. Agent-verktøy har nesten alltid en slik fetch-funksjon, og den er en ferdig SSRF-primitiv hvis den ikke blokkerer interne adresser.
Hva bør du gjøre?
- Søk i tilgangsloggene etter POST /mcp og GET /sse. Kjører du ikke MCP, er hvert treff ren rekognosering og en god indikator å blokkere.
- Spør /v1/models og /api/tags fra utsiden av ditt eget nett. Svarer de, står en modell åpen for hvem som helst.
- Let etter .claude/, .cursor/ og .credentials.json i web-rota. De hører hjemme i utviklerens hjemmekatalog, aldri i noe som serveres ut.
- Blokker 169.254.169.254 og metadata.google.internal i alle verktøy som henter URL-er, og slå på IMDSv2 på AWS.