Независимый отчет о надежности и безопасности сервера MCP
Опубликован первый независимый отчёт о безопасности и надёжности MCP-серверов, основанный на анализе данных с 2181 удалённых конечных точек. В отчёте рассматриваются показатели надёжности, безопасности и поддержки, собранные путём мониторинга общедоступных конечных точек.
Ключевые выводы анализа
- 52% удалённых конечных точек MCP-серверов не работают
- 300 серверов не имеют аутентификации, что позволяет подключаться любому агенту
- У 51% настроена полностью открытая политика CORS (Cross-Origin Resource Sharing)
- Категория финансовых сервисов имеет самые низкие показатели доверия, несмотря на работу с конфиденциальными данными
- Только 42% серверов с репозиториями на GitHub обновляли код за последние 30 дней
Доступные ресурсы
Полный отчёт с подробной методологией доступен по адресу yellowmcp.com/report. Разработчики могут протестировать свои MCP-серверы с помощью инструмента на yellowmcp.com/test.
📖 Read the full source: r/ClaudeAI
👀 Смотрите также
Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Cosmonic утверждает, что традиционная изоляция (seccomp, bubblewrap) не подходит для AI-агентов из-за фоновых полномочий. Модель на основе возможностей WebAssembly предоставляет нулевые полномочия по умолчанию, требуя явного импорта для файловой системы, сети или учетных данных.
Сканирование безопасности выявляет критическую уязвимость в инструменте поиска навыков AI-агента.
Разработчик, проводивший сканирование безопасности своей настройки ИИ-агента, обнаружил уязвимость высокой степени серьезности в инструменте find-skills, который использовался для установки дополнительных навыков, что вызвало обеспокоенность по поводу безопасности экосистемы.
Безопасность ИИ-агентов: бюджет токенов определяет риск утечки данных
Разработчик протестировал ИИ-агентов, подключенных к Gmail: флагманские модели ловили фишинг, средние были нестабильны, дешевые молча пересылали вредоносные письма. Архитектурные защиты (изоляция, разрешения) не остановили ни одной атаки.
Предупреждение о хостинге RunLobster: Сообщено о спаме ботами и несанкционированных списаниях
Пользователь Reddit сообщает о ботах RunLobster (OpenClaw Hosting), рассылающих спам в технических сабреддитах, и о трёх несанкционированных списаниях с его карты сразу после регистрации, при этом поддержка не отвечает.