Snilld

Hvordan 43 % af MCP‑implementeringer eksponerer virksomheder for angreb

MCP‑protokollen uden autentificering giver hackere let adgang, hvilket Clawdbot har udnyttet, og tre kritiske CVE’er viser risikoen. Virksomheder skal straks aktivere OAuth, begrænse netværksadgang og planlægge governance for at forhindre prompt‑injection og ransomware.

27. januar 2026 Peter Munkholm

Det er næsten for klassisk. En ny protokol, Model Context Protocol (MCP), ruller ud over AI-landskabet – og sikkerheden halter bagefter. MCP blev lanceret uden krav om autentificering. Det lyder som en detalje, men det er faktisk hele forskellen på et sikkert AI-økosystem og et, hvor enhver med lidt snilde kan bryde ind. Og nu, med Clawdbot, står vi med hænderne i kagedåsen.

Advarslerne kom tidligt – men blev ignoreret

Allerede i oktober 2025 advarede både VentureBeat og Pynt om, at MCP var sårbar. Pynts research viste, at bare ti MCP-plugins gav en 92% sandsynlighed for udnyttelse. Det er ikke småting. Merritt Baer fra Enkrypt AI sagde det ret direkte: “Hvis vi ikke bygger autentificering og mindst mulige rettigheder ind fra starten, rydder vi op i brud de næste ti år.” Men det blev ikke gjort. Og nu er vi her.

Et dokumentaristisk og realistisk billede, der bedst repræsenterer artiklens kerne om sårbarheden ved Model Context Protocol (MCP), kunne være et nærbillede af en datacenter- eller serverrumsmiljø, hvor flere åbne og tilgængelige servere og netværksudstyr illustrerer den uautoriserede adgang og sårbarhed. Billedet fokuserer på skjulte komponenter, såsom åbne porte, visuelle indikatorer for svagheder, og netværkskabler, der forbindes uden adgangskontrol, hvilket symboliserer det usikre økosystem. Det kan også inkludere en overfladisk, abstrakt visualisering af data, der flyder frit i rummet uden kryptering, hvilket visualiserer den kritiske trussel, artiklen beskriver. Det mest fængende billede kan demonstrere en slags

Clawdbot: Den perfekte storm

Clawdbot, den populære AI-assistent, blev lynhurtigt udbredt – og kører direkte på MCP. Det, vi ser nu, er at mange udviklere har sprunget sikkerhedsdokumentationen over. Det er måske forståeligt, men det har åbnet for angreb. Knostic scannede internettet og fandt næsten 2.000 åbne MCP-servere uden autentificering. De testede 119 – alle svarede uden at kræve credentials. Det er ikke bare teori. Det er virkelighed.

Tre CVE’er – samme grundproblem

Der er allerede registreret tre kritiske CVE’er, som direkte skyldes MCP’s designfejl:

Banner
  • CVE-2025-49596 (CVSS 9.4): Anthropic’s MCP Inspector tillod uautentificeret adgang mellem web UI og proxy, så en ondsindet webside kunne kompromittere hele systemet.
  • CVE-2025-6514 (CVSS 9.6): Kommando-injektion i mcp-remote, en OAuth-proxy med næsten en halv million downloads, gjorde det muligt at overtage systemer via en ondsindet MCP-server.
  • CVE-2025-52882 (CVSS 8.8): Claude Code-udvidelser eksponerede uautentificerede WebSocket-servere, hvilket gav adgang til filer og kodekørsel.

Tre kritiske sårbarheder på seks måneder. Tre forskellige angreb. Men én rod: MCP’s autentificering var altid valgfri, og valgfrit blev til fravalgt.

Angrebsfladen vokser – og fejlene er udbredte

Equixly analyserede populære MCP-implementeringer og fandt, at 43% havde kommando-injektionsfejl, 30% tillod ubegrænset URL-fetching, og 22% lækkede filer uden for de tiltænkte mapper. Forrester-analytiker Jeff Pollard sagde det sådan: “Det er som at slippe en stærk aktør løs uden kontrol.” Det er ikke overdrevet. Hvis en MCP-server har shell-adgang, kan den bruges til lateral bevægelse, credential theft og ransomware – alt sammen udløst af en prompt injection gemt i et dokument.

Et dokumentaristisk billede, der visualiserer effekten af den kritiske sikkerhedssårbarhed i Model Context Protocol (MCP), kunne centrere sig omkring en industriel datahall, hvor et væld af seriekoblede servere er synligt. Disse servere, uden tydelig mærkning af autentificering, symboliserer det uindtagelige og sårbare netværk, der kan blive mål for angreb. Over den uendelige række af servere svæver subtile, abstrakte data-visualiseringer i form af flydende, digitale linjer og koder, der hver især repræsenterer den flygtige og usikre dataflow, mens nogle af disse stråler svæver med en let, blålig glød, der understreger en potentiel risiko. Lyset i scenen er dæmpet med fokus på den blå og grønne farvepalettes sorgsomme, men intense toner, der reflekterer både teknologiens kraft og dens sårbarhed. I baggrunden kan man se en række detaljerede tekniske elementer, som netværksdiagrammer og adgangsflow, symboliserende den komplekse struktur, der ofte overses i et digitalt økosystem. Skærme og indikatorer viser adv

Kendte sårbarheder, men fixes halter

Prompt injection kan stjæle følsomme filer. Det blev demonstreret af PromptArmor, som viste, at en ondsindet fil kunne få en AI-agent til at uploade følsomme data. Anthropic’s nye Cowork-produkt udvider MCP-agenternes rækkevidde til endnu flere – men med samme sårbarhed. Det er ikke løst, bare bredere eksponeret.

Hvorfor er MCP så svær at sikre?

MCP’s design kræver ikke, at udviklere forstår eller implementerer sikkerhed. De fleste – både brugere og udviklere – forstår ikke, hvad de reelt giver adgang til. Vi har selv set det i Snilld: Når vi spørger kunder, hvad deres AI-agenter egentlig kan tilgå, er svaret ofte et skuldertræk. Det er ikke ondt ment – det er bare komplekst.

Helt konkrete anbefalinger

Hvis du sidder med ansvaret for sikkerhed, så:

Banner
  • Få overblik over, hvor MCP er eksponeret i din organisation. Brug værktøjer, der kan identificere MCP-servere specifikt.
  • Gør autentificering obligatorisk. MCP-specifikationen anbefaler OAuth 2.1, men SDK’en har ingen indbygget auth. Det skal på plads fra starten.
  • Begræns netværkseksponering. Bind MCP-servere til localhost, medmindre fjernadgang er nødvendig og autentificeret.
  • Forvent at prompt injection vil lykkes. Design adgangskontrol, som om agenten bliver kompromitteret.
  • Krav manuel godkendelse ved risikable handlinger. Tænk på agenten som en meget hurtig, men meget bogstavelig junior – den gør alt, du beder om, også det du ikke mente.
Det mest fængende og spændende billede, der illustrerer emnet i den sidste tredjedel af artiklen, kunne være et realistisk, dokumentaristisk skud af en moderne, teknologi-centreret sikkerhedskontrol i en aktuel organisation. Forestil dig et indendørs miljø, hvor en stor, transparent skærm eller et digitalt kort viser en live-oversigt over aktive MCP-servere i netværket, markeret med røde advarselslamper eller blinkende ikoner. I baggrunden kan man se en person – måske en systemadministrator – der betragter skærmen med alvorlig koncentration, uden fokus på mennesker, men på de grafiske visualiseringer og de underliggende data, der illustrerer sårbarheder og potentielle angrebsvinkler. Atmosfæren er præget af en rolig, men intenst opmærksom stemning, hvor teknologiens Abstrakte data visualiseres som en ægte, dokumentarisk afspejling af en nutidig sikkerhedsindsats i en kompleks digital verden. Kort sagt, billedet skal fange realiteterne i den aktuelle trusselsituation: et miljø præget af høj teknologi og kriti

Governance-gap og fremtiden

Sikkerhedsleverandører var hurtige til at reagere – men virksomhederne halter bagefter. Clawdbot-udbredelsen eksploderede i slutningen af 2025, men de fleste sikkerhedsroadmaps for 2026 har stadig ingen AI-agentkontroller. Angribernes vindue er åbent. Spørgsmålet er, om det bliver lukket i tide.

Hvad gør vi nu?

MCP’s sikkerhedsproblemer er ikke løst – og Clawdbot har gjort dem akutte. Det er ikke nok at vente på flere patches eller håbe, at brugerne læser dokumentationen. Vi anbefaler, at virksomheder tager MCP-eksponering alvorligt nu. Det er ikke en teoretisk risiko. Det er virkelighed, som kan mærkes – og som vi allerede har set i praksis hos flere af vores kunder. Man opdager først forskellen, når man sidder med det i hænderne – eller når det er for sent.

Kilder:

 

Målgruppens mening om artiklen

Jens, CISO i stor dansk finansvirksomhed:

Jeg giver artiklen 92 ud af 100. Den rammer plet ift. aktuelle udfordringer med MCP og AI-sikkerhed, og den dokumenterer problemerne med konkrete eksempler og CVE’er. Jeg kan bruge artiklen direkte i mit arbejde, især til awareness i ledelsen. Jeg trækker lidt fra, fordi jeg savner mere dybdegående tekniske løsningsforslag.

Maria, IT-sikkerhedskonsulent, offentlig sektor:

Jeg giver den 85. Artiklen er meget relevant, især fordi vi netop har diskuteret MCP i forbindelse med nye AI-projekter. Den er let at forstå og har gode anbefalinger, men jeg savner lidt flere konkrete værktøjer og eksempler på, hvordan man kan identificere MCP-eksponering i praksis.

Anders, CTO i SaaS-startup:

Jeg giver den 78. Jeg synes, artiklen rammer et vigtigt emne, men den er lidt alarmistisk i tonen. Jeg kunne godt tænke mig mere fokus på, hvordan man balancerer innovation og sikkerhed, og ikke kun på worst case-scenarier. Men den er stadig meget brugbar til at få folk til at vågne op.

Lise, AI-udvikler i større konsulenthus:

Jeg giver den 88. Artiklen forklarer MCP’s problemer klart og tydeligt, og jeg kan genkende mange af udfordringerne fra vores egne projekter. Jeg ville dog gerne have haft lidt mere om, hvordan man kan automatisere sikkerhedstjek i udviklingsprocessen.

Thomas, IT-revisor, Big4:

Jeg giver artiklen 90. Den er meget relevant for mit arbejde med compliance og audits, især fordi den sætter fokus på governance-gap’et. Jeg savner dog lidt flere referencer til gældende standarder og frameworks, men det er småting.









*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.

Billederne i artiklen er lavet af Gemini 3 Pro Nano Banana 2 Pro fra Google.








Book Din AI-Booster Samtale






– Ingen Tekniske Forudsætninger Påkrævet!

Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.

I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.

Fordele ved samtalen:

  • Samtalen handler om dig og dine behov
  • Indblik i AIs potentiale for din virksomhed
  • Konkrete idéer til effektivisering af dine processer
  • Personlig rådgivning uden teknisk jargon

Det handler om at skabe værdi for dig





Del denne artikel:

Lad os snakke!

Snilld ApS
CVR 44856085
(+45) 2671 4892
[email protected]
Cortex Park 4 Vest, DK5230 Odense M

    Where Nordic Intenuity
    Meets Modern AI

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?