Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
LCN Tech News · 1T SIDEN · sikkerhet

MCPs nye enterprise-spec fjerner gamle risikoer, men åpner nye, advarer Akamai før 28. juli

SYNOPSIS_GENERERT

Akamai advarer om at MCP-spesifikasjonen som slippes 28. juli fjerner protokoll-nivå-risikoer, men flytter sikkerhetsansvaret over på dem som bygger servere.

«Endringene er ikke bare inkrementelle forbedringer, de omformer fundamentalt hvor sikkerhetsansvaret ligger.» — Akamai Technologies

Det er kjernen i Akamais gjennomgang av MCP-spesifikasjonen som slippes 28. juli 2026. Den nye versjonen fjerner flere klasser av sårbarheter ved å gå fra en stateful til en stateless modell og kutte server-initierte prompts. Men den samme endringen flytter ansvaret: sikkerhetsbeslutninger som før ble håndhevet av protokollen, delegeres nå til dem som bygger MCP-servere og drifter plattformer.

Akamai peker på tre konkrete farer knyttet til forutsigbare ID-er: kapring av en aktiv arbeidsflyt, tilgang til data som tilhører en annen agent, og utløsning av uautoriserte handlinger på tvers av tenants. I tillegg introduserer MCP Apps, en ny utvidelse der servere kan sende interaktive HTML-grensesnitt direkte til KI-agenter, klassiske cross-site scripting-risikoer inne i KI-applikasjonene.

Bakgrunnen forklarer hvorfor dette betyr noe. MCP ble lansert av Anthropic i 2024 som et lokalt enkeltbruker-verktøy uten obligatorisk autentisering, med en implisitt tillit til at servere var velvillige. Den antakelsen har allerede kostet: CVE-2025-49596 viste at uautentiserte MCP Inspector-instanser kunne kjøre vilkårlige kommandoer, og Invariant Labs demonstrerte at en ondsinnet MCP-server kunne tømme en hel WhatsApp-meldingshistorikk.

Hva bør du gjøre?

  1. Behandl all klient-levert data som utrusted og håndhev kryptografisk verifisering før du ruller ut mot 28. juli-spesifikasjonen.
  2. Gå gjennom ID-genereringen i MCP-serverne dine. Forutsigbare ID-er er nettopp det Akamai peker på som angrepsflaten for kapring på tvers av tenants.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN