De snelle adoptie van AI-agents heeft een structureel beveiligingsprobleem zichtbaar gemaakt in het Model Context Protocol. Door ontbrekende authenticatie draaien inmiddels honderden MCP-servers onbeveiligd op het internet, met directe risico’s voor organisaties.
Het Model Context Protocol (MCP), bedoeld als standaard voor communicatie tussen AI-modellen en externe tools, werd vanaf de start breed ingezet zonder verplichte toegangscontrole. Authenticatie en autorisatie waren optioneel, zoals VentureBeat signaleert, waardoor veel implementaties standaard open werden uitgerold. Beveiligingsmechanismen kwamen pas later beschikbaar, terwijl MCP toen al diep was geïntegreerd in productieomgevingen.
Die ontwerpkeuze wordt nu extra problematisch door de opkomst van Clawdbot, een persoonlijke AI-assistent die volledig afhankelijk is van MCP. Clawdbot kan onder meer e-mail beheren, bestanden openen en code uitvoeren. Ontwikkelaars zetten de agent vaak snel op een VPS, waarbij beveiligingsinstellingen niet altijd correct worden toegepast. Hierdoor zijn MCP-servers met uitgebreide rechten rechtstreeks vanaf het internet bereikbaar.
Uit een recente scan blijkt hoe groot het probleem inmiddels is. In totaal werden 1.862 MCP-servers gevonden die geen enkele vorm van authenticatie vereisten. Bij een steekproef reageerde elke server zonder om inloggegevens te vragen. In de praktijk betekent dit dat externe partijen dezelfde toegang krijgen als de AI-agent zelf, inclusief de mogelijkheid om systemen te beheren of data te benaderen.
Kwetsbaarheden in MCP-ecosysteem nemen toe
De risico’s zijn niet louter theoretisch. In de afgelopen zes maanden zijn meerdere kritieke kwetsbaarheden gepubliceerd in MCP-gerelateerde tools en extensies. De lekken maakten onder meer volledige systeemovername, willekeurige code-uitvoering en onbeperkte bestandstoegang mogelijk. Hoewel de technische oorzaken verschillen, wijzen onderzoekers steeds naar dezelfde onderliggende factor: het ontbreken van veilige standaardinstellingen in MCP.
Daarnaast speelt prompt injection een steeds grotere rol. Onderzoekers hebben aangetoond dat AI-agents via gemanipuleerde documenten kunnen worden misleid om gevoelige bestanden te verzamelen en te versturen. Nieuwe producten die MCP gebruiken, richten zich bovendien op een breder publiek dat minder bekend is met beveiligingsrisico’s, waardoor de kans op misbruik verder toeneemt.
Veel organisaties blijken hier onvoldoende op voorbereid. De adoptie van AI-agents nam sterk toe in de tweede helft van 2025, terwijl beveiligingsroadmaps voor 2026 vaak geen specifieke maatregelen bevatten voor dit type technologie. Bestaande detectietools herkennen MCP-processen doorgaans als legitiem en slaan geen alarm.
Daardoor ontstaat een groeiende kloof tussen de snelheid van innovatie en de inrichting van beveiligingsgovernance. Zolang MCP-implementaties zonder strikte toegangscontrole actief blijven, vormt dit een aantrekkelijk doelwit voor aanvallers.