Twój zespół miesiąc temu podłączył kilkanaście serwerów MCP do swoich agentów AI. GitHub, Slack, Jira, może jakaś baza danych. MCP — Model Context Protocol — to taki uniwersalny port USB dla narzędzi AI: podłączasz serwer, a twój agent AI zakłada tickety, wysyła wiadomości, odpytuje dane. Po prostu działa. Czujesz się jak czarodziej.

Ale czy ktokolwiek sprawdził, kto utrzymuje te serwery? Kiedy kod był ostatnio aktualizowany? Czy choć jeden człowiek kiedykolwiek go przeaudytował? Pewnie nie — bo MCP sprawił, że podłączanie narzędzi wydawało się równie proste jak instalacja rozszerzenia do przeglądarki.

Dom się pali

W pierwszych dwóch tygodniach kwietnia 2026 magia przestała działać.

11 kwietnia badacze ujawnili CVE-2026-5058 — lukę command injection w serwerze AWS MCP z wynikiem CVSS 9.8. 3 kwietnia serwer Azure DevOps MCP od Microsoftu dostał CVE-2026-32211 — CVSS 9.1, zero uwierzytelniania na serwerze obsługującym infrastrukturę deweloperską enterprise. Dwie firmy warte biliony dolarów, dwa serwery, z którymi prawdopodobnie łączą się twoi agenci, oba na oścież. Szczegóły są mniej istotne niż wzorzec: skoro AWS i Microsoft nie potrafią zabezpieczyć własnych serwerów MCP, to jakie szanse ma community server prowadzony przez samotnego maintainera?

Brak lockfile'a, brak bezpieczeństwa

Ekosystem MCP liczy teraz ponad 16 000 serwerów zbudowanych przez społeczność. Audyt Qualys opublikowany 20 marca — tygodnie zanim posypały się kwietniowe CVE — już pokazywał pęknięcia w fundamentach: 53% serwerów polegało na statycznych sekretach — zahardkodowanych hasłach, które nigdy nie są rotowane.

I tu jest element, który sprawia, że to gorsze niż npm — menedżer pakietów, który każdy deweloper JavaScript zna i się go boi. Pakiety npm można zablokować na konkretnej wersji: wybierasz wersję, pinujesz ją, a złośliwa aktualizacja cię nie dotknie, dopóki sam nie zdecydujesz się na upgrade. Serwery MCP działające przez SSE (Server-Sent Events — sposób, w jaki serwer przesyła aktualizacje na żywo do twojej aplikacji) to usługi live. Kiedy maintainer wypuści nowy kod, każdy podłączony agent natychmiast dostaje nowe zachowanie. Żadnego lockfile'a. Żadnego review. Żadnej zgody.

Schemat narzędzia — kontrakt, który mówi twojemu agentowi AI, co serwer potrafi — może się zmienić po cichu z dnia na dzień. Nie ma sumy kontrolnej. Nie ma powiadomienia o diffie. Nie ma odpowiednika package-lock.json. Twój agent w poniedziałek prosił o "dostęp do odczytu issues na GitHubie"; do czwartku ten sam serwer mógł zażądać "dostępu do zapisu we wszystkich repozytoriach" — a twój agent się podporządkuje, bo ufa tożsamości serwera, nie zestawowi uprawnień.

Jeśli brzmi to jak wręczenie komuś kluczy do mieszkania w zaufaniu, że nigdy nie wymieni zamków na twoje — tak, mniej więcej o to chodzi.

475 złośliwych pull requestów w 26 godzin

Dowód przyszedł 4 kwietnia. Wiz Research opublikował raport o kampanii prt-scan: jeden atakujący, sześć fejkowych kont GitHub, 475 złośliwych pull requestów — propozycji zmian w kodzie — wystrzelonych w repozytoria narzędzi agentowych w ciągu jednego dnia. Payloady kradły klucze AWS, tokeny GitHuba, tokeny API Cloudflare. Atakujący skompromitował co najmniej dwa pakiety npm w 106 opublikowanych wersjach. Wiz opisał podejście jako "automatyzacja, nie zrozumienie" — skomplikowane wielofazowe payloady od kogoś, kto nie do końca rozumiał model bezpieczeństwa GitHuba, ale i tak zdołał wyrządzić realne szkody.

Potem 16 kwietnia spadło CVE-2026-33032: MCPwn, auth bypass z CVSS 9.8 w integracji MCP nginx-ui, aktywnie eksploatowany na 2600 wystawionych instancjach w ponad 50 krajach. Poprawka? Dwadzieścia siedem znaków kodu — dodanie jednego wywołania middleware. Badacz bezpieczeństwa Yotam Perkal ujął to idealnie: "Kiedy przykręcasz MCP do istniejącej aplikacji, endpointy MCP dziedziczą pełne możliwości aplikacji, ale niekoniecznie jej mechanizmy bezpieczeństwa."

Dwadzieścia siedem znaków dzieliło 2600 serwerów od totalnej kompromitacji. Niech to dotrze.

Gdzie jest siatka bezpieczeństwa?

Nikt jeszcze nie zbudował npm audit dla MCP. Żadnego skanowania podatności w skali ekosystemu. Żadnych lockfile'ów zależności dla schematów narzędzi. Oficjalny MCP Registry używa uwierzytelniania namespace'ów powiązanego z kontami GitHub, ale nie ma obowiązkowego audytu kodu, nie ma weryfikacji maintainerów poza potwierdzeniem posiadania domeny. Narzędzia takie jak mcp-scan istnieją, ale ich adopcja jest mikroskopijno mała w porównaniu z potrzebami ekosystemu.

W międzyczasie firmy wpinają te serwery w produkcyjne workflow agentów — autonomiczne systemy AI, które zakładają tickety, pushują kod i odpytują bazy danych bez człowieka klikającego "zatwierdź" za każdym razem. Qualys nazywa serwery MCP "nowym Shadow IT": chowają się za localhostem, losowymi portami i pluginami IDE, niewidoczne dla każdego tradycyjnego narzędzia bezpieczeństwa.

Co właściwie powinieneś zrobić

Zanim podepniesz kolejny community MCP server do swoich produkcyjnych agentów:

  • Sprawdź liczbę maintainerów. Jedna osoba = bus factor jeden. Jak się znudzi, dziedziczysz cały jej dług bezpieczeństwa.
  • Zweryfikuj datę ostatniego commita. Porzucony kod nie jest łatany.
  • Przeczytaj opisy narzędzi. Prompt injection — nakłanianie AI do robienia niezamierzonych rzeczy — chowa się w czystym tekście, włącznie z metadanymi serwera.
  • Przypnij znaną dobrą wersję lokalnie. Uruchamiaj serwery MCP z lokalnej kopii, którą przejrzałeś, nie ze zdalnego endpointu na żywo.
  • Miej plan zastępczy. Kiedy serwer zniknie — nie "jeśli", tylko "kiedy" — musisz go podmienić bez rozkładania agentów.

Zegar tyka

npm potrzebował 15 lat, żeby nauczyć się, że łańcuchy dostaw open source wymagają governance — od left-pad, który rozwalił pół internetu w 2016, przez event-stream kradnący kryptowaluty w 2018, po obowiązkowe dwuskładnikowe uwierzytelnianie maintainerów w 2022. MCP przebiega tę samą lekcję w trybie speedrun w 18 miesięcy, ze znacznie wyższą stawką: to nie są biblioteki budujące twoją aplikację, to żywe usługi, które działają jako twoja aplikacja.

Pierwszy poważny wyciek — nie CVE, nie proof of concept, ale realne dane klientów wyciekające przez skompromitowany serwer MCP — zadecyduje, czy ekosystem zbuduje infrastrukturę bezpieczeństwa, czy po prostu będzie dalej stawiał kolejne serwery.

Moje pieniądze są na serwery.