Populariteten lyver. Trend AI Security krysset fire MCP-kataloger mellom november 2025 og mars 2026, GitHub, Glama, Lobehub og PulseMCP, og fant at 5 832 servere hadde sikkerhetsproblemer. Av dem ble 2 259 bekreftet å ha utnyttbare sårbarheter utover manglende autentisering.
Fordelingen er verdt å kjenne når du kobler en server til agenten din. Studien katalogiserte 880 tilfeller av vilkårlig filtilgang, 490 tjenestenektsvakheter, 476 kommandoinjeksjoner, 422 SSRF-hull, 211 SQL-injeksjoner og 155 tilfeller av cross-site scripting. 185 servere ble klassifisert som ondsinnet oppførsel i form av prompt-injeksjon. I tillegg manglet 2 054 servere autentisering helt, noe forskerne ikke teller som sårbarhet i seg selv, men som forsterker alt annet.
«Analysen vår av 9 695 MCP-servere viser at popularitet, aktivitet og verifiseringsmerker ikke er pålitelige indikatorer på sikkerhet» — Trend AI Security
Det siste punktet er det ubehagelige. Servere med over 50 stjerner viste seg å bære størst risiko, nettopp fordi de er mye brukt og en enkelt feil får større nedslagsfelt. Prosjekter med over 100 commits hadde sårbarhetsrater på linje med lite aktive prosjekter, og servere som katalogene selv hadde verifisert, gjennom kodeinspeksjon eller eierskapsvalidering, hadde omtrent like mange sårbarheter i snitt som de uverifiserte. Trend beskriver fordelingen av feiltyper som jevn på tvers av tilbydere, noe de leser som systemiske svakheter i input-validering snarere enn enkeltstående slurv.
Funnene føyer seg til et bilde vi så tidligere denne måneden, da MCPExplorer kjørte en live tillitssjekk mot sine 995 indekserte servere og fikk 39 gjennom. De to gjennomgangene måler ulike ting, proveniens og vedlikehold hos MCPExplorer, faktiske kodesårbarheter hos Trend, men de lander på samme sted: katalogsignalene du intuitivt stoler på er ikke koblet til hvor trygg koden er.
For deg som bygger med agenter er konsekvensen konkret. En MCP-server får typisk lese filer, snakke med databaser og kalle API-er på dine vegne, og prompt-injeksjon i et verktøysvar kan styre hva agenten gjør videre. Trend anbefaler å behandle tredjeparts MCP-servere etter et zero trust-prinsipp.
«Stol aldri på sosiale poengsummer på offentlige markedsplasser» — Trend AI Security
Hva bør du gjøre?
- Les koden i serveren før du kobler den til, særlig funksjonene som tar imot strenger fra modellen og sender dem videre til shell, filsystem eller database.
- Slå på autentisering og gi serveren minst mulig rettigheter. 2 054 av serverne i utvalget hadde ingen autentisering i det hele tatt.
- Ignorer stjerner, commit-frekvens og verifiseringsmerker som sikkerhetssignal. Trend fant ingen meningsfull sammenheng mellom noen av dem og antall sårbarheter.
- Logg og inspiser trafikken mellom agenten og serveren, slik at du oppdager kall du ikke har bedt om.