पिछले महीने तुम्हारी टीम ने एक दर्जन MCP servers अपने AI agents में plug कर दिए। GitHub, Slack, Jira, शायद एक-दो databases भी। MCP — Model Context Protocol — AI tools के लिए एक universal USB port जैसा है: server plug करो, और तुम्हारा AI agent tickets file करेगा, messages भेजेगा, data query करेगा। बस चल जाता है। जादू जैसा लगता है।

पर क्या किसी ने check किया कि उन servers को maintain कौन कर रहा है? Code आखिरी बार कब update हुआ था? कभी किसी इंसान ने audit किया भी या नहीं? शायद नहीं — क्योंकि MCP ने tools connect करना browser extension install करने जितना आसान बना दिया।

घर में आग लगी है

अप्रैल 2026 के पहले दो हफ्तों में, जादू काम करना बंद हो गया।

11 अप्रैल को researchers ने CVE-2026-5058 disclose किया — AWS MCP server में command injection flaw, CVSS score 9.8। 3 अप्रैल को Microsoft के Azure DevOps MCP server को CVE-2026-32211 मिला — CVSS 9.1, enterprise development infrastructure handle करने वाले server पर zero authentication। दो trillion-dollar कंपनियां, दो servers जिनसे तुम्हारे agents शायद connect हैं, दोनों पूरी तरह खुले। Details उतनी important नहीं जितना pattern है: अगर AWS और Microsoft अपने खुद के MCP servers secure नहीं कर पा रहे, तो किसी अकेले maintainer के community server का क्या हाल होगा?

कोई Lockfile नहीं, कोई सुरक्षा नहीं

MCP ecosystem में अब 16,000 से ज़्यादा community-built servers हैं। Qualys ने 20 मार्च को एक audit publish किया — अप्रैल के CVEs आने से हफ्तों पहले — जिसमें नींव में दरारें पहले से दिख रही थीं: 53% servers static secrets पर depend कर रहे थे — hardcoded passwords जो कभी rotate नहीं होते।

अब वो बात जो इसे npm से भी बदतर बनाती है — वो package manager जिसकी JavaScript developers की नींद उड़ी रहती है। npm packages को version-lock किया जा सकता है: एक version चुनो, pin करो, और कोई malicious update तुम्हें तब तक नहीं छुएगा जब तक तुम खुद upgrade न करो। MCP servers जो SSE (Server-Sent Events — एक तरीका जिससे server तुम्हारी app को live updates push करता है) पर चलते हैं, वो live services हैं। जब maintainer code push करता है, हर connected agent को नया behavior तुरंत मिल जाता है। कोई lockfile नहीं। कोई review नहीं। कोई consent नहीं।

Tool schema — वो contract जो तुम्हारे AI agent को बताता है कि server क्या कर सकता है — रात भर में चुपचाप बदल सकता है। कोई checksum नहीं। कोई diff notification नहीं। कोई package-lock.json equivalent नहीं। सोमवार को तुम्हारे agent ने "GitHub issues पर read access" माँगा; गुरुवार तक वही server "सभी repositories पर write access" माँग सकता है, और तुम्हारा agent comply कर लेगा क्योंकि वो server identity पर trust करता है, permission set पर नहीं।

अगर ये सुनकर लगा कि किसी को अपने घर की चाबी दे दी और भरोसा किया कि वो कभी तुम पर ही ताला नहीं बदलेगा — हाँ, बिल्कुल वही बात है।

26 घंटों में 475 Malicious Pull Requests

सबूत 4 अप्रैल को आ गया। Wiz Research ने publish किया prt-scan campaign: एक attacker, छह fake GitHub accounts, 475 malicious pull requests — code change proposals — एक ही दिन में agent tool repos पर fire किए। Payloads ने AWS keys, GitHub tokens, Cloudflare API tokens चुराए। Attacker ने कम से कम दो npm packages compromise किए, 106 published versions में। Wiz ने approach को "automation, not understanding" बताया — elaborate multi-phase payloads किसी ऐसे शख्स के जिसे GitHub का security model पूरा तो समझ नहीं आया, पर फिर भी real damage कर दिया।

फिर 16 अप्रैल को CVE-2026-33032 आया: MCPwn, nginx-ui के MCP integration में CVSS 9.8 auth bypass, 50+ देशों में 2,600 exposed instances पर actively exploit हो रहा था। Fix? सत्ताईस characters का code — बस एक middleware call add करना। Security researcher Yotam Perkal ने बिल्कुल सही कहा: "जब तुम MCP को किसी existing application पर bolt करते हो, तो MCP endpoints को application की पूरी capabilities तो मिल जाती हैं, लेकिन ज़रूरी नहीं कि उसके security controls भी।"

सत्ताईस characters खड़े थे 2,600 servers और total compromise के बीच। ज़रा सोचो।

Safety Net कहाँ है?

किसी ने अभी तक MCP के लिए npm audit नहीं बनाया। कोई ecosystem-wide vulnerability scanning नहीं। Tool schemas के लिए कोई dependency lockfiles नहीं। Official MCP Registry GitHub accounts से tied namespace authentication use करती है, लेकिन कोई mandatory code audit नहीं, domain ownership prove करने के अलावा कोई maintainer verification नहीं। mcp-scan जैसे tools exist करते हैं, लेकिन adoption ecosystem की ज़रूरत के मुकाबले microscopic है।

इस बीच, enterprises इन servers को production agent workflows में wire कर रहे हैं — autonomous AI systems जो tickets file करते हैं, code push करते हैं, और databases query करते हैं बिना किसी इंसान के हर बार "approve" दबाए। Qualys MCP servers को "नया Shadow IT" कहता है: ये localhost, random ports, और IDE plugins के पीछे छिपे रहते हैं, हर traditional security tool की नज़र से ओझल।

असल में करना क्या चाहिए

कोई भी और community MCP server अपने production agents से connect करने से पहले:

  • Maintainer count check करो। एक इंसान = एक bus factor। अगर वो bore हो गया, तो उसका security debt तुम्हारा हो जाएगा।
  • Last commit date verify करो। Abandoned code को कोई patch नहीं करता।
  • Tool descriptions पढ़ो। Prompt injection — AI को unintended काम करवाने की trick — plain text में छिपी होती है, server metadata में भी।
  • एक known-good version locally pin करो। MCP servers अपनी reviewed local copy से चलाओ, किसी live remote endpoint से नहीं।
  • Replacement plan रखो। जब server गायब हो जाए — अगर नहीं, जब — तो तुम्हें अपने agents तोड़े बिना swap करना होगा।

घड़ी चल रही है

npm को 15 साल लगे ये सीखने में कि open-source supply chains को governance चाहिए — 2016 में left-pad से आधा internet टूटने से लेकर, 2018 में event-stream से cryptocurrency चोरी, 2022 में maintainers के लिए mandatory two-factor auth तक। MCP वही lesson 18 महीनों में speedrun कर रहा है, और दाँव ज़्यादा ऊँचे हैं: ये libraries नहीं हैं जो तुम्हारी app build करती हैं, ये live services हैं जो तुम्हारी app के तौर पर काम करती हैं।

पहला बड़ा breach — कोई CVE नहीं, कोई proof of concept नहीं, बल्कि असली customer data किसी compromised MCP server से बाहर जाना — तय करेगा कि ecosystem security infrastructure बनाता है या बस और servers बनाता रहता है।

मेरा दाँव servers पर है।