49 IP-adresser sendte gyldige MCP-håndtrykk mot en liten webhost i løpet av 14 dager. SANS Internet Storm Center gikk gjennom Apache- og ModSecurity-logger fra verten og fant rundt 200 forespørsler knyttet til KI-rekognosering. Neste steg i kjeden er å kartlegge hvilke verktøy, datakilder og handlinger agenten din har tillatelse til å utføre, og en MCP-server gir ofte tilgang til databaser, interne APIer, filsystemer og saksbehandlingsverktøy.
Det mest påfallende er ikke volumet, men presisjonen. Skannerne sjekker ikke bare om en URL finnes. De sender korrekt formede JSON-RPC 2.0-initialize-meldinger med protokollversjon «2025-03-26», altså et ekte MCP-håndtrykk. Svarer serveren, vet angriperen at den snakker med en MCP-server og ikke en tilfeldig webtjeneste.
«Skanneren ber ikke blindt om en URL. Den snakker protokollen.» — Manuel Humberto Santander Peláez, handler i SANS Internet Storm Center
Parallelt går skanningen etter konfigurasjonsfiler som utviklere ved et uhell legger i en deployet webrot: /.claude/mcp.json, /.cursor/mcp.json, /.cursor/mcp_config.json, /.vscode/mcp.json, /.mcp/config.json og /.claude/settings.local.json. Mot selve nøkkelfilene, /.claude/.credentials.json og /.config/claude/.credentials.json, brukes HEAD-forespørsler i stedet for GET. Det er en optimalisering: angriperen sjekker først om filen finnes, og laster den bare ned hvis den gjør det. Den detaljen tyder på en kampanje bygget for å treffe mange mål, ikke på nysgjerrig eksperimentering.
Aktiviteten ble observert på nettsteder med lite trafikk som ikke engang hostet KI-infrastruktur. Det er poenget: dette er bred rekognosering, ikke et målrettet angrep mot en bestemt organisasjon. HEAL Security, som gjenga funnet, peker på at spredningen over mange kildeadresser gjør at det ligner distribuert skanning etter sårbare oppsett i stor skala.
Santander Peláez oppsummerer risikoen slik: «En eksponert MCP-server er en maskinlesbar oversikt over alt en agent kan gjøre, tilbudt til hvem som helst som snakker protokollen.» Uten autentisering foran serveren er det ikke bare en åpen tjeneste, det er en katalog over alt agenten din har lov til å røre.
Hva bør du gjøre?
- Søk i tilgangsloggene dine etter forespørsler mot /.claude/, /.cursor/, /.vscode/ og /.mcp/. Kjører du ikke MCP i det hele tatt, behandle treffene som rekognoseringssignal og blokker dem.
- Krev autentisering på alle MCP-servere, og ikke la dem nås direkte fra internett med mindre du har en konkret grunn. Nettverksbegrensning gjør også at skanneren ikke finner tjenesten i utgangspunktet.
- Verifiser at .credentials.json og settings.local.json ikke ligger i en katalog som webserveren serverer. Roter nøklene hvis en HEAD-forespørsel har fått svar.