MCP 서버 신뢰성 및 보안 결과에 대한 독립 보고서
공개적으로 접근 가능한 엔드포인트 모니터링을 통해 수집된 신뢰성, 보안 및 유지 관리 지표를 다루는 MCP 서버에 대한 최초의 독립적인 보안 및 신뢰성 보고서가 발표되었습니다. 이 보고서는 2,181개의 원격 MCP 서버 엔드포인트 데이터를 분석합니다.
분석 결과 주요 발견 사항
- 원격 MCP 서버 엔드포인트의 52%가 작동하지 않음
- 300개의 서버가 인증이 전혀 없어, 어떤 에이전트든 연결 가능
- 51%가 CORS(교차 출처 리소스 공유) 설정이 완전히 개방되어 있음
- 금융 카테고리는 민감한 데이터를 다루지만 신뢰도 점수가 가장 낮음
- GitHub 저장소가 있는 서버 중 지난 30일 동안 코드를 커밋한 서버는 42%에 불과함
이용 가능한 자료
상세한 방법론이 담긴 전체 보고서는 yellowmcp.com/report에서 확인할 수 있습니다. 개발자는 yellowmcp.com/test에 있는 도구를 사용하여 자신의 MCP 서버를 테스트할 수 있습니다.
📖 Read the full source: r/ClaudeAI
👀 See Also
사랑스러운 데모용 에듀테크 앱에서 노출된 보안 취약점
보안 연구원이 Lovable에서 성공 사례로 소개된 교육 기술(EdTech) 애플리케이션에서 여러 치명적인 취약점을 발견했습니다. 이 앱은 인증 없이 18,697명의 사용자 기록을 노출하는 심각한 인증 논리 결함을 포함해 16개의 취약점이 있었습니다. Lovable 쇼케이스에서 10만 회 이상 조회되었으며 UC 버클리, UC 데이비스 및 전 세계 학교의 실제 사용자를 보유하고 있었습니다.
샌드박싱 없이 로컬 OpenClaw 인스턴스에 대한 보안 경고
레딧 게시글에 따르면 적절한 격리 없이 로컬에서 바닐라 OpenClaw 인스턴스를 실행하면 API 키 노출, 의도치 않은 파일 삭제, 데이터 유출 등의 문제가 발생할 수 있다고 경고합니다. 출처에서는 bash 도구를 샌드박싱하거나 관리형 서비스를 사용할 것을 권장합니다.
사이버 보안 질문에 대한 검열되지 않은 Qwen 3.5 35B 모델 테스트
사이버보안 전문가가 해킹 및 보안 우회 질문에 대해 세 가지 검열되지 않은 Qwen 3.5 35B 모델을 테스트한 결과, 원본 검열 모델과 비교해 응답 품질에서 상당한 차이를 발견했습니다. 검열되지 않은 모델들은 원본 모델이 거부하거나 불완전한 응답을 준 경우에도 일관되게 답변을 제공했습니다.
나노클로의 AI 에이전트 보안 모델: 컨테이너 격리와 최소 코드
NanoClaw는 각 AI 에이전트가 권한 없는 사용자 접근, 격리된 파일 시스템, 명시적 마운트 허용 목록을 갖춘 자체 임시 컨테이너에서 실행되는 보안 아키텍처를 구현합니다. 코드베이스는 의도적으로 최소화되어 약 1개의 프로세스와 소수의 파일로 구성되며, 기능을 재발명하기보다는 Anthropic의 Agent SDK에 의존합니다.