MCP-in-SoS: Risk assessment framework for open-source MCP servers

Deze paper introduceert een risicobeoordelingsframework voor open-source MCP-servers dat, door middel van statische codeanalyse en mapping naar bekende aanvalspatronen, systematisch kwetsbaarheden identificeert en benadrukt dat veilige ontwikkeling essentieel is voor betrouwbare LLM-agent-implementaties.

De kern

Hier is een uitleg van het onderzoek in eenvoudig Nederlands, met behulp van een paar creatieve vergelijkingen om het begrijpelijk te maken.

Het Grote Verhaal: De "Super-Assistent" en zijn Gevaarlijke Hulpjes

Stel je voor dat je een Super-Assistent hebt (een kunstmatige intelligentie of AI) die voor je kan werken. Deze assistent is slim, maar hij kan op zichzelf niets doen in de echte wereld. Hij kan geen e-mail sturen, geen bestanden openen of geen bankoverschrijvingen doen.

Om dit wel te kunnen, heeft hij hulpjes nodig. In de tech-wereld heten deze hulpjes MCP-servers.

• De Analogie: Denk aan de AI als een chef-kok die in een keuken staat. De MCP-servers zijn de keukengereedschappen (de blender, de oven, het mes) die de chef gebruikt om het werk te doen.

Deze "keukengereedschappen" zijn er in duizenden varianten, gemaakt door verschillende mensen, en ze zijn allemaal gratis en openbaar beschikbaar (zoals recepten die iedereen kan kopiëren).

Het Probleem: De Keukengereedschappen zijn Slecht Gemaakt

De onderzoekers van deze paper (van de New Mexico State University) dachten: "Wacht even, als iedereen deze gereedschappen mag kopiëren en gebruiken, zijn ze dan wel veilig?"

Ze ontdekten dat veel van deze "hulpjes" (de MCP-servers) gebrekkig zijn.

• De Vergelijking: Het is alsof je een blender koopt die een open raampje heeft waar je vingers in kunnen komen, of een oven die brandt als je er netjes naar kijkt. Omdat ze open-source zijn, heeft iedereen toegang tot de bouwtekeningen, maar hebben de bouwers vaak vergeten de deuren goed op slot te doen.

Wat hebben ze gedaan? (De "Veiligheidsinspectie")

De onderzoekers hebben een automatische scanner gebouwd (een soort robot-inspecteur) om 222 van deze open-source servers te controleren. Ze keken niet naar of de servers nu gehackt waren, maar of ze zwakke plekken in hun ontwerp hadden.

Ze gebruikten twee grote lijsten van bekende fouten:

1. CWE: Een lijst met "fouten in het ontwerp" (bijv. "de deur is niet vergrendeld").
2. CAPEC: Een lijst met "manieren waarop boeven die fouten kunnen misbruiken" (bijv. "de boef duwt de deur open en steelt de koekjes").

De Belangrijkste Bevindingen

Hier zijn de resultaten, vertaald naar alledaags taal:

1. Het is overal slecht gesteld
Van de 222 servers die ze checkten, hadden 191 (86%) minstens één gevaarlijke fout.

• Vergelijking: Als je 100 auto's uit een fabriek haalt, zijn er 86 waarvan de remmen niet goed werken of de banden lek zijn.

2. De meest voorkomende fouten
De meeste servers hadden problemen met toegang.

• Vergelijking: Het is alsof je een huis bouwt waar de voordeur openstaat en iedereen kan binnenlopen zonder dat je ze hoeft te vragen wie ze zijn. Dit heet "Missing Authorization" (geen toegangsbewijs nodig).

3. Het gevaarlijke "Kettingreactie"-effect
Dit is het belangrijkste punt van het onderzoek. Fouten komen zelden alleen voor.

• De Analogie: Stel je voor dat de voordeur openstaat (Protocol-fout). Omdat de deur openstaat, kan de boef bij de keuken komen (Tool-fout). Omdat de keuken open is, kan hij de kist met geld openbreken (Resource-fout).
• De onderzoekers zagen dat als de deur open staat, de kans enorm groot is dat er ook andere gevaarlijke dingen gebeuren. Het is een kettingreactie: één zwakke schakel maakt de hele keten kwetsbaar.

4. De Risico-score
Ze hebben een systeem ontwikkeld om te berekenen hoe gevaarlijk een server is.

• 47,6% van de servers scoorde op "Hoog risico".
• 18,3% scoorde op "Zeer Hoog risico".
• Vergelijking: Als je deze servers zou gebruiken in een bedrijf, zou je met bijna de helft van je systemen in een "rood gebied" zitten, waar het risico op diefstal of schade heel groot is.

Wat betekent dit voor de toekomst?

De boodschap is: We moeten beter bouwen.

Nu bouwen mensen deze AI-hulpjes snel en gratis, maar ze vergeten vaak de veiligheidsdeuren te sluiten. De onderzoekers zeggen: "Het is niet genoeg om alleen te zeggen 'het werkt'. We moeten 'veiligheid door ontwerp' (secure-by-design) gaan gebruiken."

Samenvattend in één zin:
We hebben een heleboel gratis AI-hulpjes gebouwd die erg handig zijn, maar veel van deze hulpjes hebben open deuren en gebroken sloten, waardoor hackers ze makkelijk kunnen gebruiken om schade aan te richten; we moeten deze deuren nu snel dichtdoen voordat er iets misgaat.

Wat doen de onderzoekers nu?

Ze hebben hun bevindingen niet gebruikt om de systemen te hacken, maar om de makers van deze software te waarschuwen. Ze hebben de fouten gerapporteerd aan de ontwikkelaars, zodat ze hun "keukengereedschappen" kunnen repareren. Ze hopen dat de gemeenschap nu beter gaat letten op veiligheid, net zoals we dat doen bij banken of auto's.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "MCP-in-SoS: Risk assessment framework for open-source MCP servers" in het Nederlands.

Titel: MCP-in-SoS: Risicobeoordelingskader voor open-source MCP-servers

Auteurs: Pratyay Kumar, Miguel Antonio Guirao Aguilera, Srikathyayani Srikanteswara, Satyajayant Misra, Abu Saleh Md Tayeen.
Affiliatie: New Mexico State University, University of Hartford, GenAI and ML Research Visionary.

---

1. Het Probleem

De Model Context Protocol (MCP) is een open standaard (geïntroduceerd door Anthropic in november 2024) die Large Language Model (LLM)-agenten koppelt aan externe tools en data-bronnen via een uniforme interface. Hoewel MCP de interoperabiliteit en portabiliteit van AI-agenten aanzienlijk verbetert, introduceert het ook nieuwe beveiligingsrisico's.

• Dynamische Controle: In tegenstelling tot traditionele client-server applicaties met vaste call-graaf, wordt de controleflow in MCP-systemen dynamisch georkestreerd door de redeneerlus van de agent. Dit betekent dat een client tool-aanroepen kan keten, argumenten dynamisch kan synthetiseren en server-side acties kan triggeren die toegang hebben tot gevoelige bronnen (bestandsystemen, netwerken, API's).
• Open-Source Proliferatie: De ecosystem groeit explosief met duizenden open-source MCP-servers. Er is echter geen eerdere systematische, grootschalige studie die de beveiligingszwaktes in deze open-source implementaties analyseert.
• Gevolg: Bestaande kwetsbaarheden in de code kunnen leiden tot escalatie van privileges, data-lekken en beschikbaarheidsproblemen, waarbij de schade zich kan vermenigvuldigen over meerdere tool-aanroepen heen.

2. Methodologie: MCP-in-SoS

De auteurs introduceren MCP-in-SoS, een gestructureerde, geautomatiseerde pipeline voor het detecteren en prioriteren van beveiligingszwaktes in MCP-server-implementaties. De pipeline bestaat uit vier fasen:

1. Statische Code-analyse:

   • Drie analyzers worden toegepast op de broncode van MCP-servers: CodeQL, Joern (met aangepaste queries voor de Top 25 CWE's van 2025), en de Cisco AI Defender MCP Scanner.
   • Doel: Het extraheren van kandidaat-beveiligingszwaktes zonder de code uit te voeren.

2. Metadata-voorbereiding:

   • Integratie van de MITRE CWE (Common Weakness Enumeration) en CAPEC (Common Attack Pattern Enumeration and Classifications) databases.
   • De auteurs analyseren de dekking van de data en vullen ontbrekende velden (zoals Likelihood of Exploit of Typical Severity) aan door metadata van bovenliggende categorieën te erven of via LLM-assistentie.

3. Normalisatie:

   • De output van de verschillende analyzers wordt gedupliceerd en genormaliseerd naar een gemeenschappelijk schema.
   • Bevindingen worden gekoppeld aan gestandaardiseerde CWE-identificatoren.
   • Er wordt een Risk Index berekend voor elke gevonden zwakte.

4. Risicoscore (Risk Scoring):

   • Een metadata-gedreven risicomodel wordt toegepast: $Risk = Kansen \times Impact$.
   • Kans (Likelihood): Afgeleid van de Likelihood of Attack (CAPEC), Likelihood of Exploit (CWE) en het aantal Modes of Introduction.
   • Impact: Afgeleid van de Typical Severity (CAPEC) en het aantal Common Consequences (CWE).
   • Er worden repository-level scores berekend (o.a. een RMS-benadering) om repositories te rangschikken op basis van de concentratie van hoge-risico zwaktes.

3. Belangrijkste Bijdragen

• Grootschalige Assessering: De eerste systematische analyse van 222 publiek beschikbare Python MCP-server-repositories op GitHub.
• Reproduceerbare Pipeline: Een workflow die statische analyzers combineert met LLM-ondersteunde checks voor het normaliseren en mappen van bevindingen naar CWE-klassen.
• Aangepaste Joern-queries: Een set van 54 Joern-queries, afgestemd op de CWE Top 25 van 2025, specifiek ontworpen voor Python MCP-servers.
• Risicoscoremodel: Een nieuw model dat CWE- en CAPEC-metadata combineert om zowel op zwakte-niveau als op repository-niveau risicoscores te genereren.
• Threat Surface Taxonomie: Een classificatie van bedreigingen in vier categorieën: Protocol, Tool, Resource en Prompt, inclusief een analyse van conditionele co-voorkomens (exploit-chains).

4. Resultaten

De analyse van de 222 repositories leverde de volgende inzichten op:

• Wijdverspreide Kwetsbaarheden: 191 van de 222 repositories (86,0%) bevatten ten min één toegewezen zwakte.
• Risicoverdeling:
  • 47,6% van de bewerkte repositories valt in de Hoge risicoband.
  • 18,3% valt in de Zeer Hoge risicoband.
  • Slechts 0,5% wordt als "Zeer Laag" risico geclassificeerd.
• Dominante CWE's: De meest voorkomende zwaktes zijn gerelateerd aan:
  • CWE-862 (Ontbrekende Autorisatie) - 30,4% van de bevindingen.
  • CWE-200 (Blootstelling van Gevoelige Informatie) - 15,9%.
  • CWE-306 (Ontbrekende Authenticatie) - 15,3%.
  • CWE-89 (SQL Injection) - Hoewel minder frequent, heeft dit een zeer hoge risicoscore.
• Bedreigingsoppervlakken:
  • Protocol-zwaktes (bijv. authenticatie/autorisatie) domineren zowel in frequentie (56,9%) als in risicogewogen blootstelling (57,1%).
  • Tool-zwaktes zijn minder frequent maar hebben een disproportioneel grote impact op de blootstelling (21,2%).
• Exploit-chains (Co-voorkomen):
  • Zwaktes treden zelden geïsoleerd op. Er is een sterke correlatie: 87% van de repositories met Tool-zwaktes heeft ook Protocol-zwaktes.
  • Dit suggereert dat zwakke toegangscodes (Protocol) vaak de ingang vormen voor het exploiteren van kwetsbare tools of bronnen.
  • Prompt-zwaktes (verwarring van de deputy) voorspellen vaak de aanwezigheid van Resource- en Protocol-zwaktes, wat leidt tot multi-stadia aanvalspaden.

5. Betekenis en Conclusie

Het paper benadrukt dat de huidige open-source MCP-ecosystemen aanzienlijke beveiligingsrisico's bevatten die de vertrouwelijkheid, integriteit en beschikbaarheid van AI-agent-systemen kunnen compromitteren.

• Secure-by-Design: De auteurs pleiten voor een "secure-by-design" aanpak bij de ontwikkeling van MCP-servers, waarbij aandacht moet worden besteed aan authenticatie, autorisatie en input-validatie.
• Gestructureerde Beoordeling: Het voorgestelde framework biedt een reproduceerbare methode voor ontwikkelaars en auditors om risico's in real-time te kwantificeren.
• Beperkingen: De studie is beperkt tot Python-implementaties; andere talen (zoals TypeScript) kunnen een ander patroon van zwaktes vertonen. Daarnaast zijn de risicoscores gebaseerd op metadata en kunnen ze in specifieke deployment-contexten variëren.

De auteurs hebben hun bevindingen ethisch gerapporteerd aan de respectievelijke projecthouders en zullen de data en tools openbaar maken om herhaalbaarheid te waarborgen.