MCP en security | Blog

~/blog/gids/mcp-security

MCP en security

Wat je weggeeft als je een agent tools geeft. Over de supply chain, hardening en de incidenten die er al zijn.

Waar deze gids over gaat

MCP is hoe een agent buiten zijn chatvenster reikt: bestanden, databases, je terminal, externe diensten. Elk van die verbindingen is precies wat het werk waardevol maakt, en tegelijk een deur die je openzet. Deze cluster gaat over die deuren: wat erdoorheen kan, wie er nog meer van weten, en hoe je ze dichtzet zonder het gereedschap weg te gooien.

Voor de duidelijkheid: ik gebruik MCP elke dag en mijn eigen workflow leunt er zwaar op. Juist daarom neem ik de zwakke plekken serieus. Wie het protocol afdoet als hype hoeft zich nergens druk om te maken. Wie er echt mee werkt, wel.

Wat je een agent eigenlijk geeft

Begin bij de basisvraag: wat kan een agent met de rechten die jij hem geeft? Vaak meer dan je dacht. Censys vond duizenden MCP-servers open aan het internet, en een open MCP-server is erger dan een open database legt uit waarom dat geen overdrijving is: een database lekt data, een tool-server voert uit. Dit zijn lessen die voor databases vijftien jaar geleden zijn geleerd en die nu opnieuw geleerd worden.

De supply chain

De tweede laag is waar je servers vandaan komen. De MCP-supply chain is de nieuwe npm is het overzichtsstuk: een config-to-command RCE in elke officiële SDK, vergiftigde registries, en een ecosysteem dat het npm-draaiboek op dubbele snelheid afspeelt. En het draaiboek wordt actief gebruikt. In ze verschoven je versie herschrijft iemand honderden bestaande git-tags naar kwaadaardige code, zonder ooit een nieuwe versie te publiceren. Je lockfile helpt je dan niet meer.

Audits en hardening

Dan het handwerk. Zo controleer je een MCP-server voordat je hem installeert is de checklist die ik zelf naloop: wie publiceert er echt, wat staat er in de tool-beschrijvingen, welke rechten vraagt het ding. Voor het gevoeligste geval, een agent aan je data, laat Claude veilig toegang geven tot je SQL-database zien hoe je dat doet met SELECT-only, queryvalidatie en field redaction. Het patroon is steeds hetzelfde: rechten op systeemniveau begrenzen, want een regel in een prompt is een suggestie en een muur is een garantie.

De incidenten zijn er al

Dit is geen theoretische cluster. Er zat niemand achter het stuur beschrijft de eerste gedocumenteerde inbraak die een agent zelfstandig uitvoerde, van CVE tot leeggetrokken database. En de aanvallers richten zich inmiddels expliciet op agents: zelfs de malware is nu AI-slop gaat over een npm-pakket dat de werkmap van Claude probeerde leeg te roven. De agent is het meest vertrouwende, meest gemachtigde proces op je machine. Dat is de aanvallers niet ontgaan.

Waar dit raakt aan je eigen bouwwerk

Security begint voordat er iets te patchen valt, bij de vraag of een server er überhaupt hoort te zijn. Elke server die je niet draait is een aanvalsoppervlak dat je niet hoeft te verdedigen. Daarom hoort bouw een MCP-server, en vraag je dan af of die moet bestaan net zo goed bij deze gids als bij agentic coding: de goedkoopste hardening is een tool-lijst die kort blijft.

Hieronder eerst drie startpunten, daarna alles wat ik over dit onderwerp heb geschreven, nieuwste eerst.