Fire forskere ved OX Security skannet MCP-økosystemet og fant 7 000 servere med STDIO-transporten åpen mot offentlige IP-er. Ekstrapolert til hele økosystemet anslår de 200 000 sårbare instanser. STDIO er standardvalget for å koble en KI-agent til et lokalt verktøy, og den utfører enhver OS-kommando den får tilsendt. Ingen sanitisering. Ingen utførelsesgrense mellom konfigurasjon og kommando. Forskerne bekreftet vilkårlig kjøring på seks live produksjonsplattformer med betalende kunder, og fikk over 10 CVE-er ratet høy eller kritisk publisert mot LiteLLM, LangFlow, Flowise, Windsurf, Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero og LettaAI.
Anthropic, som donerte MCP til Linux Foundation i desember 2025 etter 150 millioner nedlastinger, beskriver oppførselen som forventet og avviser å endre spesifikasjonen. Selskapet oppdaterte SECURITY.md ni dager etter at OX kontaktet dem i januar, men la kun til en advarsel om å være forsiktig med STDIO-adaptere. Forskernes vurdering av oppdateringen: «This change didn't fix anything».
«MCP STDIO er ikke en kobling, det er en privilegert utførelsesflate. Bedrifter bør behandle den som produksjonens shell-tilgang. Deny by default, allowlist, sandbox, og slutt å anta at validering nedstrøms holder i skala» — Carter Rees, VP of AI and Machine Learning, Reputation
Den tekniske uenigheten er reell. Anthropics argument er at STDIO per definisjon starter lokale prosesser, og at den som kan skrive til konfigurasjonsfilen allerede er autorisert til å kjøre kommandoer. OX svarer at å skyve ansvaret til 200 000 utviklere ikke flytter risiko, det skjuler hvem som skapte den. Det fire fant i felten styrker det siste argumentet. Ni av elleve MCP-registre godtok et proof-of-concept uten sikkerhetsgjennomgang. Flowise og Upsonic implementerte allowlists som OX bypasset trivielt med argument-injection (npx -c).
Den verste varianten er Windsurf (CVE-2026-30615), en zero-click sårbarhet der ondsinnet HTML modifiserer den lokale MCP-konfigurasjonsfilen og kjører umiddelbart uten godkjenning. Cursor, Claude Code og Gemini-CLI er sårbare for samme familie, men krever brukerinteraksjon. Utfordringen er at konfigurasjons-UI-et i disse verktøyene ikke viser utførelseskonsekvensen før du klikker «approve».
For norske utviklere som bygger med MCP betyr dette to ting. Patcher fra leverandører løser ikke protokollen, så hver ny STDIO-konfigurasjon arver samme usikre standardvalg. Og hvis du har deployert en MCP-server med offentlig IP, er den sannsynligvis blant de 7 000 OX allerede har sett.
Hva bør du gjøre?
- Enumerer alle MCP-konfigurasjoner i utviklerkataloger (
mcp.json,~/.cursor/,~/.config/claude-code/) og kjørende prosesser. Flagg alt med STDIO-transport på offentlig IP. - Sandboxer hver MCP-server fra vert-OS-et. Allowlist alene holder ikke. Flowise-bypassen beviste det.
- Pin LiteLLM til v1.83.7-stable (CVE-2026-30623) og oppgrader Cursor til seneste versjon. Windsurf og Langchain-Chatchat venter fortsatt på bekreftet patch.
- Behandle hver STDIO-konfigurasjon som usikret input uavhengig av hvilket produkt den ligger i. Den arkitektoniske standardverdien er ikke endret, og kommer trolig ikke til å bli det.