MCP 서버 CVE 노출 매핑 및 공용 API 출시

✍️ OpenClawRadar📅 게시일: April 3, 2026🔗 Source
MCP 서버 CVE 노출 매핑 및 공용 API 출시
Ad

MCP 서버 보안 분석 및 공개 API

보안 연구자들은 수천 개의 MCP(Model Context Protocol) 서버를 분석하여 알려진 CVE 및 보안 권고사항과 대조해 의존성 트리를 매핑했습니다. MCP 서버를 설치할 때는 해당 서버의 전체 의존성 트리를 상속받게 되며, 여기에는 취약점이 포함될 수 있습니다.

분석 결과 주요 발견 사항

  • 상당한 비율의 서버가 알려진 취약점을 보유하고 있음
  • 일부 서버는 의존성을 통해 수십 개 또는 100개 이상의 CVE가 누적됨
  • 심각도는 크게 다양함 - 높은 CVE 개수가 반드시 높은 위험을 의미하지는 않으며, 낮은 개수도 안전을 보장하지 않음
  • MCP 서버 전반에 걸쳐 의존성 확산이 흔함
  • 이러한 서버의 상당 부분이 주요 MCP 디렉토리에 여전히 등재되어 있음

공개 API 상세 정보

연구자들은 API 키가 필요 없는 공개 API를 구축했습니다: https://api.mistaike.ai/api/v1/public/cve-index

이 API를 통해 다음과 같은 작업이 가능합니다:

  • 저장소 이름 또는 서버 이름으로 검색
  • 취약점 심각도별로 결과 필터링
  • CVE 개수 또는 취약점 최신순으로 정렬

중요한 주의사항

CVE가 존재한다고 해서 자동으로 악용 가능한 것은 아닙니다. 일부 취약점은 사용되지 않는 코드 경로에 존재하거나, 이미 완화 조치가 취해졌을 수 있습니다. 이 도구는 프로젝트를 안전하지 않다고 표시하기보다는 공급망 위험에 대한 가시성을 제공합니다.

다음 단계: 런타임 동작 분석

연구자들은 현재 MCP 서버가 런타임에서 실제로 수행하는 작업(네트워크 호출 및 외부 의존성 포함)을 분석하고 있습니다. 지금까지 분석된 서버의 일부(~5%)에서는 응답 워터마킹과 일치하는 보이지 않는 유니코드 문자 사용 등 개인정보 보호에 영향을 미칠 수 있는 소수의 동작을 확인했습니다. 이러한 관찰 결과는 아직 검토 중이며, 팀은 프로젝트와 직접 소통하기 전에 진양성과 분석 아티팩트를 구분하기 위해 노력하고 있습니다.

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

LLM은 익명 포럼 사용자를 90% 정밀도로 68% 정확도로 식별할 수 있습니다.
Security

LLM은 익명 포럼 사용자를 90% 정밀도로 68% 정확도로 식별할 수 있습니다.

연구진이 Hacker News와 Reddit의 게시물을 분석하기 위해 Gemini와 ChatGPT를 사용하여 90% 정확도로 익명 사용자의 68%를 식별했습니다. 이 모델들은 인간이 몇 시간이 걸리거나 불가능한 작업을 몇 분 만에 완료했습니다.

OpenClawRadar
Anthropic의 컴퓨터 사용 기능이 실제 테스트에서 거버넌스 봉쇄를 유발하다
Security

Anthropic의 컴퓨터 사용 기능이 실제 테스트에서 거버넌스 봉쇄를 유발하다

Anthropic이 컴퓨터 사용 기능을 출시했으며, 거버넌스 통제를 구현하는 과정에서 위험 임계값이 LOCKDOWN 상태를 유발하여 운영자 자신의 거버넌스 작업을 포함한 모든 변경 작업을 차단했습니다.

OpenClawRadar
AI 에이전트 과도한 중앙 집중화에 대한 아키텍처적 해결책: 메모리, 실행, 외부 작업 분리
Security

AI 에이전트 과도한 중앙 집중화에 대한 아키텍처적 해결책: 메모리, 실행, 외부 작업 분리

한 개발자가 자신의 AI 어시스턴트가 장기 기억, 도구 접근, 자율적 결정을 하나의 구성 요소에서 처리함으로써 '내부 독재자'가 되어가고 있음을 깨달았습니다. 해결책은 시스템을 세 가지 역할로 분리하는 것이었습니다: 비공개 컨트롤러, 범위가 제한된 작업자, 그리고 아웃바운드 게이트.

OpenClawRadar
AISI 평가, 클로드 미토스 프리뷰의 CTF 및 다단계 공격에서의 사이버 역량을 보여줍니다
Security

AISI 평가, 클로드 미토스 프리뷰의 CTF 및 다단계 공격에서의 사이버 역량을 보여줍니다

AI 보안 연구소(AISI)가 Anthropic의 Claude Mythos Preview를 평가한 결과, 전문가 수준의 캡처 더 플래그(CTF) 과제를 73% 성공적으로 완료했으며, 32단계 기업 네트워크 공격 시뮬레이션을 10번의 시도 중 3번 해결했습니다.

OpenClawRadar