MCP-in-SoS: Risk assessment framework for open-source MCP servers

Questo studio introduce un framework di valutazione del rischio per i server MCP open-source, applicando analisi statica del codice per identificare vulnerabilità sistemiche e mapparle su minacce reali, al fine di garantire la sicurezza delle implementazioni produttive di agenti LLM.

L'essenziale

Ecco una spiegazione semplice e creativa del paper, pensata per chiunque, anche senza competenze tecniche.

🚀 Il "Modello di Contesto" (MCP): Il nuovo ponte tra l'Intelligenza Artificiale e il mondo reale

Immagina che le Intelligenze Artificiali (come ChatGPT o Claude) siano dei geni incredibilmente intelligenti, ma che vivono intrappolati in una stanza vuota. Possono pensare, scrivere e ragionare, ma non possono toccare nulla, aprire porte o usare gli strumenti della tua casa.

Per risolvere questo, è nato un nuovo standard chiamato MCP (Model Context Protocol). È come costruire un ponte sicuro che permette al genio di uscire dalla sua stanza e usare i tuoi strumenti: aprire il calendario, controllare le email, modificare file o persino comandare dispositivi smart.

Il problema? Questo ponte è stato costruito velocemente da migliaia di volontari (codice open-source) e, come spesso accade quando si costruisce in fretta, alcuni ponti hanno crepe, serrature rotte o finestre lasciate aperte.

🔍 L'Investigazione: "MCP-in-SoS"

Gli autori di questo studio (ricercatori dell'Università del New Mexico e altri) si sono chiesti: "Quanti di questi ponti sono davvero sicuri?".

Hanno creato un sistema chiamato MCP-in-SoS (che potremmo chiamare "Il Controllore dei Ponti"). Invece di ispezionare ogni singolo ponte a mano (cosa impossibile, ce ne sono centinaia), hanno usato dei robot investigatori (software di analisi automatica) per scansionare 222 di questi "ponti" (server MCP) trovati su GitHub.

Ecco come hanno lavorato, passo dopo passo:

1. La Lente d'Ingrandimento (Analisi Statica): Hanno usato dei "raggi X" digitali (strumenti come CodeQL e Joern) per guardare il codice dei ponti senza doverli far funzionare. Hanno cercato buchi noti, come serrature arrugginite o muri troppo sottili.
2. Il Dizionario dei Difetti (CWE e CAPEC): Quando il robot trovava un difetto, lo confrontava con due grandi enciclopedie del crimine informatico:
   • CWE: L'elenco dei "difetti di costruzione" (es. "la porta non ha la maniglia").
   • CAPEC: L'elenco dei "metodi di attacco" (es. "come un ladro usa un grimaldello su quella maniglia").
3. Il Punteggio di Pericolo: Hanno assegnato un punteggio a ogni ponte. Non contava solo quanti buchi c'erano, ma quanto erano gravi. Un ponte con una finestra rotta in una stanza vuota è meno pericoloso di un ponte con una porta aperta che porta direttamente alla cassaforte.

📊 Cosa hanno scoperto? (I Risultati)

I risultati sono stati un po' preoccupanti, come scoprire che la maggior parte delle case in un nuovo quartiere ha le finestre aperte:

• Quasi tutti hanno dei difetti: Su 222 ponti controllati, 219 ne avevano almeno uno. Solo 31 erano "puliti".
• Il livello di rischio è alto: La metà dei ponti controllati è stata classificata come "Alto Rischio" o "Rischio Molto Alto".
• I difetti più comuni: I problemi principali riguardavano la sicurezza delle porte (mancanza di autenticazione) e l'esposizione di dati sensibili. In pratica, molti ponti permettevano a chiunque di entrare senza chiedere la password.

🔗 La Catena del Pericolo: Quando i difetti si uniscono

La parte più interessante è stata scoprire come i difetti lavorano insieme. Immagina un ladro che vuole rubare il tuo computer:

1. Il Ponte Debole (Protocollo): Se il ponte non ha un cancello di sicurezza (Protocollo debole), il ladro può entrare nel cortile.
2. La Stanza Aperta (Strumento): Una volta nel cortile, se la porta dello strumento (Tool) è aperta, il ladro può usare il tuo computer.
3. Il Furto (Risorsa): Se il computer è collegato ai tuoi file privati (Risorsa), il ladro ruba tutto.

Lo studio ha scoperto che raramente un difetto sta da solo. Spesso, un ponte con un cancello rotto (Protocollo) ha anche una porta dello strumento aperta (Strumento). Questo crea una catena di eventi che permette a un attaccante di fare danni enormi in pochi secondi.

💡 Cosa significa per noi?

In parole povere, questo studio ci dice che:

• L'Intelligenza Artificiale sta diventando molto potente perché può usare i nostri strumenti, ma la sicurezza non è stata costruita con la stessa velocità.
• Molti dei "ponti" che stiamo usando oggi sono fragili.
• Non basta dire "è un software open-source, quindi è sicuro". Bisogna controllarlo, ripararlo e costruirlo meglio fin dall'inizio.

La morale della favola: Prima di lasciare che il nostro "genio digitale" esca a giocare con i nostri strumenti, dobbiamo assicurarci che il ponte che lo collega a noi non crolli sotto il peso di un ladro. Gli autori hanno già avvisato i creatori di questi ponti per aiutarli a ripararli, proprio come un vigile del fuoco che avvisa un proprietario di casa di spegnere una candela accesa.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "MCP-in-SoS: Risk assessment framework for open-source MCP servers" in lingua italiana.

1. Problema e Contesto

Il Model Context Protocol (MCP), introdotto da Anthropic nel novembre 2024, è diventato uno standard aperto per collegare gli agenti basati su Large Language Models (LLM) a strumenti e fonti dati esterni. Sebbene MCP offra vantaggi significativi in termini di portabilità e semplificazione operativa rispetto alle integrazioni ad-hoc precedenti, ha alterato il panorama della sicurezza dei sistemi agenziali.

A differenza delle applicazioni client-server tradizionali con flussi di lavoro statici, i sistemi MCP orchestrano il controllo del flusso a runtime tramite il ciclo di ragionamento dell'agente. Questo permette di concatenare chiamate agli strumenti e attivare azioni lato server che possono raggiungere risorse sensibili (file system, API con credenziali, servizi downstream).
Il problema centrale identificato dagli autori è la mancanza di una valutazione sistematica e su larga scala delle vulnerabilità negli implementazioni open-source dei server MCP. Mentre esistono tassonomie delle minacce e dimostrazioni di attacchi, non esisteva uno studio che analizzasse le debolezze reali nel codice sorgente di migliaia di repository pubblici. Questo gap è critico poiché i server MCP agiscono come punto di strozzo (choke point) tra l'agente e capacità ad alto privilegio.

2. Metodologia: MCP-in-SoS

Gli autori propongono MCP-in-SoS, una pipeline automatizzata a quattro stadi per rilevare, normalizzare e prioritizzare le debolezze di sicurezza nelle implementazioni dei server MCP. La metodologia si basa sull'integrazione di analisi statica del codice e metadati standardizzati (CWE e CAPEC).

Fasi della Pipeline:

1. Analisi del Codice Statico (Static Code Analysis):
   • Vengono scansionati i repository utilizzando tre strumenti: CodeQL, Joern (con query personalizzate allineate al "CWE Top 25 2025" per Python) e, su un sottoinsieme, lo scanner Cisco AI Defender MCP.
   • L'obiettivo è estrarre potenziali debolezze (candidate findings) senza eseguire il codice.
2. Preparazione dei Metadati:
   • Vengono utilizzati i database CWE (Common Weakness Enumeration) per le debolezze e CAPEC (Common Attack Pattern Enumeration and Classification) per i pattern di attacco.
   • Gli autori calcolano un Risk Index (RI) basato su metadati come la probabilità di sfruttamento (Likelihood of Exploit), le conseguenze comuni (Common Consequences), la modalità di introduzione (Mode of Introduction) e la gravità tipica (Typical Severity).
   • Vengono gestiti i valori mancanti nei database imputando i dati dai genitori nella gerarchia o incrociando le informazioni tra CWE e CAPEC.
3. Normalizzazione:
   • I risultati eterogenei dei diversi strumenti vengono normalizzati, deduplicati e mappati su identificatori CWE standardizzati per repository.
4. Valutazione del Rischio (Risk Scoring):
   • Viene calcolato un punteggio di rischio per ogni debolezza ($R(w)$) come prodotto di Likelihood e Impact, derivati dai metadati CWE-CAPEC.
   • Vengono definiti due metriche a livello di repository:
     • $R_{exp}$: Somma pesata per frequenza delle debolezze.
     • $R_{rms}$: Radice quadrata della media dei pesi (RMS) per enfatizzare la presenza di classi ad alto rischio.
     • $R_{overall}$: Punteggio finale che combina la severità con il volume delle scoperte (scalato logaritmicamente).

3. Contributi Chiave

• Valutazione su larga scala: Analisi di 222 repository Python pubblici che implementano server MCP, identificando 15.962 findings.
• Pipeline Riproducibile: Un framework che combina analizzatori statici (CodeQL, Joern) con un assistente LLM per la generazione e validazione delle query di analisi.
• Nuove Query Joern: Sviluppo di 54 query specifiche per Python allineate al CWE Top 25 del 2025.
• Modello di Punteggio del Rischio: Un modello guidato dai metadati CWE-CAPEC che produce metriche di rischio sia a livello di singola debolezza che di repository.
• Tassonomia delle Superfici di Minaccia: Classificazione delle vulnerabilità in quattro superfici specifiche per MCP: Protocollo, Strumento (Tool), Risorsa (Resource) e Prompt.
• Analisi delle Catene di Sfruttamento: Identificazione di catene di exploit multi-stadio basate sulla co-occorrenza condizionata delle vulnerabilità.

4. Risultati Principali

L'analisi ha rivelato dati allarmanti sulla sicurezza attuale dell'ecosistema MCP:

• Diffusione delle Vulnerabilità: Il 86,0% (191 su 222) dei repository analizzati contiene almeno una debolezza mappata.
• Livelli di Rischio: La maggior parte dei repository analizzati ricade nelle fasce di rischio Alto (47,6%) o Molto Alto (18,3%). Solo lo 0,5% è classificato come "Molto Basso".
• Debolezze Dominanti: Le cinque classi CWE più comuni (che coprono il 75,7% dei totali) sono:
  1. CWE-862 (Mancata autorizzazione)
  2. CWE-200 (Esposizione di informazioni sensibili)
  3. CWE-306 (Mancata autenticazione)
  4. CWE-287 (Autenticazione impropria)
  5. CWE-89 (SQL Injection)
• Superfici di Minaccia: La superficie Protocollo domina sia per prevalenza (56,9% dei findings) che per esposizione al rischio (57,1%). Ciò indica che i problemi di controllo degli accessi e di trasporto moltiplicano l'impatto di altre vulnerabilità.
• Catene di Sfruttamento (Exploit Chains): Le vulnerabilità raramente si presentano in isolamento. L'analisi della co-occorrenza condizionata mostra:
  • L'87% dei repository con vulnerabilità negli Strumenti ha anche vulnerabilità nel Protocollo.
  • L'88% dei repository con vulnerabilità nelle Risorse ha vulnerabilità nel Protocollo.
  • Il 94% dei repository con vulnerabilità nei Prompt ha anche vulnerabilità nelle Risorse.
  • Questo suggerisce che le debolezze del protocollo agiscono come un "livello abilitante" che permette agli attaccanti di sfruttare successivamente debolezze negli strumenti o nelle risorse.

5. Significato e Conclusioni

Il paper dimostra che l'adozione rapida e open-source dei server MCP ha introdotto rischi di sicurezza sistemici significativi, spesso trascurati nello sviluppo.

• Implicazioni: La sicurezza "by-design" è essenziale. Le implementazioni attuali sono spesso fragili e soggette a catene di exploit multi-stadio che possono compromettere la riservatezza, l'integrità e la disponibilità dei dati.
• Limitazioni: Lo studio si è concentrato esclusivamente su server MCP scritti in Python; la distribuzione delle debolezze potrebbe variare per altri linguaggi (es. TypeScript). Inoltre, il punteggio di rischio si basa su metadati teorici (CAPEC) che potrebbero differire dal rischio reale in contesti di deployment specifici.
• Etica e Open Science: Gli autori hanno seguito pratiche etiche, segnalando le vulnerabilità ai proprietari dei progetti e promettendo di rilasciare tutti i metadati, le pipeline di analisi e gli script per garantire la riproducibilità della ricerca.

In sintesi, MCP-in-SoS fornisce un quadro di riferimento critico per comprendere e mitigare i rischi nell'ecosistema emergente degli agenti AI, evidenziando la necessità urgente di migliorare la sicurezza a livello di codice nelle implementazioni dei server.