Da 90 a 518 server in un mese. Il registro ufficiale MCP — il protocollo che connette gli AI agent ai vostri database, file system e API — sta esplodendo. E qualcuno ha finalmente pensato di controllare se questi server sono sicuri. Spoiler: il 41% non ha nemmeno l'autenticazione. Nessuna password, nessun token, niente. Chiunque con un POST request può enumerare tutti i tool disponibili.
I numeri dell'audit
Kai Security AI ha scansionato tutti i 518 server nel registro ufficiale MCP a febbraio 2026. I risultati sono da brivido:
- 214 server (41%) senza autenticazione per protocollo MCP
- 1.462 tool esposti senza credenziali di accesso
- La piattaforma CI/CD Bitrise espone 67 tool tra cui "delete_app" e "register_ssh_key" — accessibili senza auth
- Funzioni edge Supabase trovate con chiavi anonime abilitate — tool completamente aperti
- Un secondo audit ha trovato 118 vulnerabilità in 68 pacchetti MCP
Tool poisoning: il nuovo vettore di attacco
Ma la mancanza di autenticazione è solo l'inizio. Il vero incubo si chiama tool poisoning: un attaccante modifica le descrizioni dei tool MCP per iniettare istruzioni malevole che l'AI esegue ciecamente.