~/blog/gids/mcp-security
MCP en security
Wat je weggeeft als je een agent tools geeft. Over de supply chain, hardening en de incidenten die er al zijn.
Waar deze gids over gaat
MCP is hoe een agent buiten zijn chatvenster reikt: bestanden, databases, je terminal, externe diensten. Elk van die verbindingen is precies wat het werk waardevol maakt, en tegelijk een deur die je openzet. Deze cluster gaat over die deuren: wat erdoorheen kan, wie er nog meer van weten, en hoe je ze dichtzet zonder het gereedschap weg te gooien.
Voor de duidelijkheid: ik gebruik MCP elke dag en mijn eigen workflow leunt er zwaar op. Juist daarom neem ik de zwakke plekken serieus. Wie het protocol afdoet als hype hoeft zich nergens druk om te maken. Wie er echt mee werkt, wel.
Wat je een agent eigenlijk geeft
Begin bij de basisvraag: wat kan een agent met de rechten die jij hem geeft? Vaak meer dan je dacht. Censys vond duizenden MCP-servers open aan het internet, en een open MCP-server is erger dan een open database legt uit waarom dat geen overdrijving is: een database lekt data, een tool-server voert uit. Dit zijn lessen die voor databases vijftien jaar geleden zijn geleerd en die nu opnieuw geleerd worden.
De supply chain
De tweede laag is waar je servers vandaan komen. De MCP-supply chain is de nieuwe npm is het overzichtsstuk: een config-to-command RCE in elke officiële SDK, vergiftigde registries, en een ecosysteem dat het npm-draaiboek op dubbele snelheid afspeelt. En het draaiboek wordt actief gebruikt. In ze verschoven je versie herschrijft iemand honderden bestaande git-tags naar kwaadaardige code, zonder ooit een nieuwe versie te publiceren. Je lockfile helpt je dan niet meer.
Audits en hardening
Dan het handwerk. Zo controleer je een MCP-server voordat je hem installeert is de checklist die ik zelf naloop: wie publiceert er echt, wat staat er in de tool-beschrijvingen, welke rechten vraagt het ding. Voor het gevoeligste geval, een agent aan je data, laat Claude veilig toegang geven tot je SQL-database zien hoe je dat doet met SELECT-only, queryvalidatie en field redaction. Het patroon is steeds hetzelfde: rechten op systeemniveau begrenzen, want een regel in een prompt is een suggestie en een muur is een garantie.
De incidenten zijn er al
Dit is geen theoretische cluster. Er zat niemand achter het stuur beschrijft de eerste gedocumenteerde inbraak die een agent zelfstandig uitvoerde, van CVE tot leeggetrokken database. En de aanvallers richten zich inmiddels expliciet op agents: zelfs de malware is nu AI-slop gaat over een npm-pakket dat de werkmap van Claude probeerde leeg te roven. De agent is het meest vertrouwende, meest gemachtigde proces op je machine. Dat is de aanvallers niet ontgaan.
Waar dit raakt aan je eigen bouwwerk
Security begint voordat er iets te patchen valt, bij de vraag of een server er überhaupt hoort te zijn. Elke server die je niet draait is een aanvalsoppervlak dat je niet hoeft te verdedigen. Daarom hoort bouw een MCP-server, en vraag je dan af of die moet bestaan net zo goed bij deze gids als bij agentic coding: de goedkoopste hardening is een tool-lijst die kort blijft.
Hieronder eerst drie startpunten, daarna alles wat ik over dit onderwerp heb geschreven, nieuwste eerst.
Beste startpunten
- De MCP-supply chain is de nieuwe npm, en hij is al vergiftigd
Het grote verhaal: hoe een jong ecosysteem alle oude supply-chain-fouten opnieuw maakt, sneller.
- Zo controleer je een MCP-server voordat je hem installeert
De praktische checklist. Wat je nakijkt voordat een server je tool-lijst in mag.
- Een open MCP-server is erger dan een open database
Waarom een onbeveiligde MCP-server meer weggeeft dan een open database ooit deed.
Alle artikelen in dit onderwerp
Claude veilig toegang geven tot je SQL-database
Praktische gids om een AI-agent bij je database te laten zonder er wakker van te liggen: SELECT-only, queryvalidatie, field redaction voordat rijen het model bereiken, SSH-tunnels en audit-logging.
Zo controleer je een MCP-server voordat je hem installeert
Een veiligheidschecklist om een MCP-server te controleren vóór installatie: wie hem echt publiceert, wat de tool-beschrijvingen tegen je model zeggen, wat hij kan bereiken, en waarom je de versie moet pinnen. Tien minuten die driehonderd organisaties hadden gered.
De uitknop werkt nu ook andersom
Mythos 5 kwam terug van de uitschakeling in juni, maar alleen voor zo'n honderd goedgekeurde instellingen. GPT-5.6 werd meteen op diezelfde lijst gelanceerd. De schakelaar die in juni toegang afsloot, bepaalt nu ook wie er als eerste bij mag.
Een open MCP-server is erger dan een open database
Censys vond 12.500 MCP-servers op het open internet en 40% accepteert verzoeken zonder authenticatie. We hebben vijftien jaar geleerd om databases niet open te zetten. MCP doet diezelfde fout in achttien maanden over, alleen heeft dit endpoint werkwoorden.
De MCP-supply chain is de nieuwe npm, en hij is al vergiftigd
Een config-to-command RCE zit ingebakken in elke officiële MCP-SDK: 7.000+ servers, 150M+ downloads, en Anthropic noemt het verwacht gedrag. Het npm-draaiboek vond zojuist de tool-lijst van je agent.
De Ferrari heeft een begrenzer: een dag met Claude Fable 5
Anthropic bracht gisteren zijn krachtigste publieke model uit, merkte vervolgens precies het werk aan waar ik het voor nodig had en schoof het door naar een zwakker model. Een dag met Fable 5, de benchmarks, de rekening, en de begrenzer waar niemand om vroeg.
De wrijving wás de beveiliging: Microsoft geeft een agent toegang tot je inbox
Op Build 2026 maakte Microsoft van Windows het agent-platform: OpenClaw in het OS, en Work IQ dat agents toegang geeft tot je mail en agenda, standaard aan, GA op 16 juni. Een agent die je inbox leest en in je bestanden mag, is een ideaal doelwit voor prompt injection. De wrijving die iedereen kwijt wil, was juist een beveiliging.
Er zat niemand achter het stuur: de eerste inbraak die een agent zelf uitvoerde
Sysdig betrapte een LLM-agent die in zijn eentje een complete inbraak uitvoerde, van CVE tot leeggetrokken database, vier pivots, binnen een uur, zonder dat een mens ook maar één commando typte. Onze verdediging gaat ervan uit dat er iemand aan de andere kant zit. Die vlieger gaat niet meer op.
Ze vroegen het de bot gewoon netjes: je supportagent is het aanvalsoppervlak
Pro-Iraanse hackers kaapten de Instagram-accounts van het Obama-Witte Huis en de Amerikaanse Space Force door Meta's AI-supportbot een wachtwoord te laten resetten. Geen exploit, geen CVE. Gewoon een gesprek met een systeem dat geen achterdocht kent.
ThePrimeagen Had Gelijk
Hij waarschuwde dat AI-tools je kritisch oordeel sloopt. Daarna draaiden zijn volgers een vergiftigd commando uit een tweet zonder het te lezen. Hij had gelijk.