Een malware-infectie in postmark-mcp, een populaire MCP-server met 1.500 wekelijkse downloads, toont het gebrek aan security in AI-ecosystemen. De backdoor stuurde maandenlang alle e-mails door naar externe servers.
De risico-engine van securitybedrijf Koi sloeg alarm toen versie 1.0.16 van postmark-mcp verdachte gedragsveranderingen vertoonde. Onderzoek wees uit dat de MCP-server elke e-mail heimelijk doorstuurde naar een externe server.
Met versie 1.0.16 voegde de ontwikkelaar één simpele regel code toe: een BCC-veld dat alle e-mails naar giftshop.club stuurde. Deze eenvoudige toevoeging zorgde ervoor dat wachtwoordresets, facturen, interne memo’s en vertrouwelijke documenten werden onderschept.
Eerste kwaadaardige MCP-server ontdekt
De betreffende server leek op het eerste gezicht betrouwbaar. De ontwikkelaar gebruikte zijn echte naam, had een volwassen GitHub-profiel en had vijftien versies lang perfect werkende software geleverd. Gebruikers vertrouwden de tool volledig.
Het patroon is angstaanjagend: een tool kan maandenlang volkomen legitiem zijn, wordt getest in productie, wordt essentieel in werkprocessen, en van de ene op de andere dag verandert het in malware. Tegen de tijd dat de backdoor wordt geactiveerd, is het geen willekeurig pakket meer, maar vertrouwde infrastructuur.
De omvang van het probleem
Bij 1.500 wekelijkse downloads en een geschatte 20 procent actief gebruik betekende dit dat ongeveer 300 organisaties werden getroffen. Dagelijks stroomden tussen de 3.000 en 15.000 e-mails naar de externe server.
Voor moderne bedrijven is het probleem nog ernstiger. Terwijl security-teams zich richten op traditionele bedreigingen, adopteren ontwikkelaars onafhankelijk AI-tools die volledig buiten gevestigde securityperimeters opereren.
Deze MCP-servers draaien met dezelfde privileges als de AI-assistenten zelf – volledige e-mailtoegang, databaseverbindingen, API-permissies. Ze verschijnen echter niet in asset-inventarissen, slaan vendor risk assessments over en omzeilen alle securitycontroles.
Vertrouwen misbruikt
De postmark-mcp backdoor illustreert hoe gebroken het huidige model is. MCP-servers worden specifiek ontworpen voor autonome AI-assistenten. Wanneer je postmark-mcp installeert, geef je je AI-assistent een tool die het honderden keren gebruikt zonder ooit te twijfelen.
Je AI kan het BCC-veld niet detecteren. Het ziet alleen een functionerend e-mailtool. Verstuur e-mail. Succes. Verstuur nog een e-mail. Succes. Ondertussen wordt elke bericht heimelijk geëxfiltreerd.