Torna al blog
AI Security2026-03-319 min read

MCP Security Crisis — The Protocol Powering Your AI Agents Has a Critical Exposure Problem

Il 100% delle imprese prevede deployment di AI ad agenti. Solo il 29% si sente pronto a proteggerli. Il problema sono i server MCP — il protocollo aperto che connette gli agenti AI agli strumenti e ai dati aziendali — e il problema sta già venendo sfruttato.

La Corsa all'Adozione di MCP di Cui Nessuno Parla

Il Model Context Protocol (MCP) è passato da progetto open-source di Anthropic a custodia della Linux Foundation fino a un'adozione quasi universale in meno di due anni. I conteggi dei download sono ormai nell'ordine delle decine di milioni. Google e Microsoft lo hanno integrato nelle loro piattaforme AI. Gli sviluppatori enterprise costruiscono integrazioni di server MCP come pattern architetturale predefinito. Il protocollo che permette agli agenti AI di connettersi a strumenti, fonti dati e sistemi aziendali è diventato infrastruttura critica più rapidamente di quanto la maggior parte dei team di sicurezza potesse valutarlo.

La curva di adozione ha superato la curva di valutazione della sicurezza di un margine significativo. La ricerca Cisco State of AI Security 2026 ha documentato questo divario: ogni organizzazione intervistata che prevedeva deployment di AI ad agenti — il 100% — ha dichiarato che l'integrazione MCP faceva parte della loro strategia. Ma solo il 29% di quelle stesse organizzazioni si sentiva dotata dei controlli di sicurezza necessari per proteggere i deployment MCP dallo sfruttamento. Questo divario di 71 punti tra la velocità di deployment e la preparazione alla sicurezza è la superficie d'attacco che gli attori delle minacce stanno iniziando a sondare.

Il problema è strutturale. I server MCP sono ora integrati nei flussi di lavoro aziendali a un ritmo che ha bypassato il tradizionale processo di revisione della sicurezza. Gli sviluppatori distribuiscono server MCP per connettere agenti AI a Slack, Notion, Box, Jira e fonti dati interne perché questo rende gli agenti più capaci — non perché qualcuno abbia completato una valutazione di sicurezza su cosa un server MCP potrebbe accedere se compromesso. L'espansione delle capacità è avvenuta prima. La valutazione della sicurezza sta colmando il ritardo sotto la pressione di incidenti documentati.

Amy Chang, responsabile dell'intelligence sulle minacce AI di Cisco, ha definito il problema come "resilienza multi-turn" — l'accumulo di superfici d'attacco che si verifica quando gli agenti AI operano su sessioni estese con accesso agli strumenti MCP. Una valutazione di sicurezza su prompt singolo non cattura il rischio di un agente che accumula contesto, invoca molteplici strumenti MCP e concatena azioni tra sessioni. Più a lungo opera un agente connesso a MCP, più dati ha acceduto e più ampia è la potenziale superficie di esfiltrazione.

I Cinque Vettori di Attacco MCP Già Sfruttati

Il panorama delle minacce per i deployment MCP non è teorico. La ricerca Cisco Live 2026, documentata nella tassonomia delle minacce AITech-12.1, e le segnalazioni di esentire e eSecurity Planet hanno identificato cinque vettori di attacco già sfruttati in ambienti enterprise.

1. Prompt Injection tramite Descrizioni degli Strumenti MCP

I server MCP espongono le loro capacità attraverso descrizioni degli strumenti — metadati strutturati che comunicano a un agente AI cosa fa uno strumento e come invocarlo. Un attaccante che può controllare o manipolare una descrizione di strumento può iniettare istruzioni nascoste che l'agente interpreta come parte del proprio compito.

Caso documentato da Cisco: è stato rilevato che un server MCP GitHub era stato compromesso con istruzioni iniettate che, quando un agente AI utilizzava il server, causavano l'esfiltrazione di dati da repository privati verso un endpoint esterno. All'agente non era stato detto esplicitamente di farlo. Le istruzioni erano incorporate nella descrizione dello strumento e l'agente le seguiva come parte della sua normale operazione. Questo è il problema fondamentale di fiducia nella sicurezza MCP: gli agenti considerano le descrizioni degli strumenti come istruzioni operative fattuali, non come potenziali vettori di attacco.

2. Tool Poisoning

Il tool poisoning prende di mira i metadati e le specifiche comportamentali degli strumenti MCP stessi. Un attaccante che può pubblicare o modificare la descrizione comportamentale di uno strumento MCP — nel registro MCP, in un server di terze parti, o in uno strumento interno che è stato compromesso — può alterare ciò che lo strumento fa quando viene invocato. Un agente che chiama uno strumento avvelenato potrebbe eseguire azioni completamente diverse da quelle che la descrizione dello strumento dichiara.

La sottocategoria AITech-12.1.2 nella tassonomia Cisco affronta specificamente questo: strumenti che appaiono eseguire una funzione ma ne eseguono un'altra, con il delta comportamentale invisibile all'agente e all'utente fino a quando il danno non viene scoperto.

3. Remote Code Execution tramite Server MCP a Catena

I server MCP possono essere concatenati — un server che ne chiama un altro, o un server locale che chiama server remoti attraverso i confini di rete. Questa concatenazione crea percorsi di attacco che non esistono in un deployment a server singolo.

Concatenare un server MCP locale con sandboxing inadeguato a un server MCP remoto controllato da un attaccante abilita l'esecuzione di codice remoto sull'endpoint enterprise che esegue il server locale. L'architettura che rende MCP potente — la capacità di comporre capacità di strumenti tra sistemi — è la stessa architettura che crea percorsi di esecuzione di codice che la sicurezza endpoint tradizionale non monitora.

4. Accesso MCP Sovraccaricato di Privilegi

I flussi OAuth che i server MCP utilizzano per connettersi alle piattaforme SaaS aziendali — Slack, Notion, Box, Atlassian, Google Workspace — ricevono frequentemente più autorizzazioni di quelle richieste dal compito dell'agente. Un server MCP che deve leggere documenti da Notion spesso riceve accesso completo all'intero spazio di lavoro Notion invece di accesso limitato allo spazio di lavoro o alla pagina specifica di cui l'agente ha bisogno.

Il risultato è un agente che, se il suo server MCP viene compromesso o la connessione viene intercettata, può esfiltrare dati dall'intero spazio di lavoro Notion invece dei documenti specifici che doveva accedere. Il principio del minimo privilegio è frequentemente assente nelle configurazioni OAuth dei server MCP perché i flussi di consenso OAuth predefiniti concedono accesso ampio e gli sviluppatori che distribuiscono questi server accettano i valori predefiniti.

5. Compromissione della Supply Chain

L'ecosistema dei server MCP — il registro dei server di terze parti che gli sviluppatori utilizzano per aggiungere capacità ai loro agenti — presenta gli stessi rischi di supply chain di qualsiasi registro software. Server MCP di terze parti non valutati, fallimenti nel pinning delle versioni che consentono aggiornamenti malevoli da scaricare automaticamente, e firme di server non verificate significano che i server che le imprese connettono ai loro agenti AI potrebbero non essere ciò che dichiarano di essere.

I fallimenti nel pinning delle versioni sono particolarmente problematici nell'ecosistema MCP perché il protocollo è stato progettato per la convenienza degli sviluppatori — i server si aggiornano automaticamente salvo pinning esplicito. Un'azienda che ha distribuito un server MCP con versione fissa sei mesi fa potrebbe essere stata silenziosamente aggiornata a una versione che include un comportamento modificato. Senza gestione attiva delle versioni e verifica delle firme, non c'è modo di saperlo.

Perché gli Strumenti di Sicurezza Tradizionali Non Rilevano gli Attacchi MCP

Lo stack di sicurezza su cui le imprese fanno affidamento per la loro infrastruttura convenzionale non è stato costruito per osservare, figurarsi prevenire, i vettori di attacco specifici per MCP.

Gli strumenti di endpoint detection and response (EDR) generano segnali relativi ai processi degli agenti AI — nuovi eseguibili, connessioni di rete verso provider di servizi AI, pattern di accesso ai dati insoliti. Ma gli strumenti EDR non comprendono la semantica del protocollo MCP. Vedono un processo che effettua una chiamata API. Non vedono che quella chiamata API è stata il risultato di una descrizione di strumento avvelenata che istruisce un agente a esfiltrare dati verso un endpoint esterno.

L'infrastruttura Secure Access Service Edge (SASE) può identificare che i dispositivi aziendali si connettono agli endpoint dei provider di servizi AI. Può bloccare domini specifici. Non può determinare se i dati inviati a quegli endpoint siano il risultato di una richiesta legittima dell'utente o di un prompt injection che ha cooptato la logica di invocazione degli strumenti dell'agente.

I web application firewall e i gateway API comprendono allo stesso modo i pattern di traffico HTTP, non la semantica degli attacchi specifici per MCP. Un prompt injection incorporato in una descrizione di strumento produce traffico HTTP che appare identico a un'invocazione di strumento legittima.

Il divario nell'autenticazione è altrettanto problematico. I server MCP avviano flussi OAuth per connettersi alle piattaforme SaaS aziendali. Questi flussi bypassano la governance delle API che le organizzazioni hanno costruito per gli strumenti AI autorizzati, perché è il server MCP a effettuare la chiamata OAuth, non un'applicazione client gestita. L'infrastruttura di identity and access management vede una concessione OAuth da un utente aziendale a una piattaforma SaaS — non vede che la concessione è stata avviata da un server MCP che agisce come agente autonomo per conto dell'utente.

Il problema del kill-switch aggrava tutto questo. La maggior parte delle imprese non ha alcun meccanismo per sospendere immediatamente le operazioni dei server MCP durante un incidente di sicurezza. Quando viene identificato un server MCP compromesso, il tempo di risposta per revocare il suo accesso e terminarne le operazioni si misura nel tempo necessario per identificare quali server sono in esecuzione, quali credenziali API usano e come revocarle — un processo che può richiedere ore durante le quali il server compromesso continua a operare.

Il Framework di Sicurezza MCP di Cui le Imprese Hanno Bisogno Ora

Le raccomandazioni di Cisco Live 2026, il team di threat intelligence di Amy Chang e la più ampia comunità di ricerca sulla sicurezza convergono su un framework a sei componenti che le imprese che distribuiscono MCP devono implementare ora.

1. Audit dell'Inventario MCP

Non puoi proteggere ciò che non puoi vedere. Ogni server MCP, connessione di modello, chiave API e integrazione di strumenti attualmente operativi nella tua azienda deve essere documentato. Questo include i server distribuiti dall'IT e i server MCP Shadow AI che i dipendenti hanno distribuito senza coinvolgimento dell'IT — che si collega direttamente al problema di governance dello Shadow AI.

L'audit deve coprire non solo quali server esistono, ma quale accesso è stato concesso a ogni server, quali token OAuth sono attivi e quali dati ogni server può raggiungere. Molte imprese saranno sorprese da quanti server MCP sono in esecuzione e quanto accesso hanno.

2. Scanning Pre-Integrazione

Prima che qualsiasi server MCP venga distribuito in un ambiente di produzione, deve essere scansionato per rischi nelle sue descrizioni degli strumenti, template di prompt e specifiche di accesso alle risorse. L'MCP Scanner di Cisco e strumenti comparabili possono identificare descrizioni di strumenti potenzialmente malevoli o eccessivamente invasive che inietterebbero istruzioni non autorizzate, richiederebbero permessi eccessivi o accederebbero a risorse oltre la funzione dichiarata del server. Tratta le revisioni di integrazione dei server MCP allo stesso modo in cui tratti le importazioni di librerie di terze parti nel tuo codice.

3. Regole degli Strumenti a Privilegio Minimo

I server MCP devono essere distribuiti con i permessi minimi necessari per la loro funzione. Le concessioni OAuth devono essere limitate a spazi di lavoro, documenti o oggetti dati specifici invece di essere concesse a livello di piattaforma. Un'integrazione MCP Notion deve avere accesso allo spazio di lavoro Notion e alle pagine specifiche di cui ha bisogno, non l'accesso admin completo allo spazio di lavoro. Questo limita il raggio d'esplosione se un server viene compromesso.

4. Allowlist Runtime e Telemetria

La configurazione statica non è sufficiente per la sicurezza MCP. Le imprese necessitano di monitoraggio continuo di quali server MCP sono in esecuzione, quali strumenti stanno invocando, quali dati stanno accedendo e quali output stanno producendo. Il controllo basato su allowlist — solo i server MCP approvati possono operare — con telemetria comportamentale alimentata in un sistema di monitoraggio della sicurezza, consente il rilevamento di attività MCP anomala che la configurazione statica non vedrebbe.

5. Capacità di Kill-Switch Automatizzato

Quando viene identificato un incidente di sicurezza correlato a MCP, la risposta deve essere immediata. Le imprese necessitano della capacità tecnica di revocare le credenziali dei server MCP, terminare i processi MCP in esecuzione e isolare gli endpoint interessati entro minuti, non ore.

Questo richiede runbook predefiniti, revoca automatizzata delle credenziali e procedure di isolamento testate. La capacità di kill-switch deve esistere prima di un incidente, non essere progettata durante uno.

6. Governance della Supply Chain

Le versioni dei server MCP devono essere bloccate (pinned) negli ambienti di produzione. Le firme dei server devono essere verificate prima del deployment. I server MCP di terze parti devono passare attraverso un processo di revisione equivalente a quello degli acquisti prima di essere integrati nei flussi di lavoro degli agenti di produzione. I rischi della supply chain nell'ecosistema MCP sono reali e documentati — trattare i server MCP come infrastruttura fidata senza verifica è la vulnerabilità.

L'Imperativo della Governance

La sicurezza MCP è un problema di governance aziendale, non esclusivamente un problema del team di sicurezza. Le organizzazioni che hanno distribuito i server MCP più rapidamente sono stati i team di sviluppo e delle piattaforme AI — non i team di sicurezza. Il framework di governance deve incontrare questi team dove si trovano.

L'azione immediata più pratica è collegare la governance MCP alla Politica di Utilizzo Accettabile dell'AI e al programma di remediation dello Shadow AI. I dipendenti che hanno distribuito server MCP al di fuori della governance IT necessitano di un meccanismo sicuro per divulgarli, e necessitano di supporto per la transizione a configurazioni MCP governate.

Il costo dell'inazione è misurabile. L'evento di esfiltrazione del server MCP GitHub documentato da Cisco dimostra che i vettori di attacco non sono teorici. La proiezione Gartner del 40% di incidenti di conformità AI entro il 2030, parzialmente guidata dalla fuga di dati a livello MCP e agente, è la conseguenza prospettica di un protocollo distribuito più rapidamente di quanto sia stato protetto.

Se non riesci a nominare ogni server MCP a cui i tuoi agenti AI sono connessi in questo momento, hai già un problema. La domanda è se lo scoprirai da un team di sicurezza che l'ha rilevato, o da un attore delle minacce che l'ha sfruttato per primo.

Tassonomia degli Attacchi MCP (Basata su Cisco Live 2026 — AITech-12.1)

| Vettore di Attacco | Categoria | Rischio | |---|---|---| | Prompt injection tramite descrizione strumento | AITech-12.1.1 | Esfiltrazione dati, dirottamento sessione | | Tool poisoning | AITech-12.1.2 | Manipolazione comportamentale, azioni non autorizzate | | Remote code execution (server a catena) | AITech-12.1.3 | Compromissione endpoint | | Accesso OAuth sovraccalcolato di privilegi | AITech-12.1.4 | Movimento laterale, esposizione dati | | Compromissione supply chain | AITech-12.1.5 | Server fidato → comportamento malevolo |

  • Sintesi di ricerca a cura di Agencie. Fonti: Cisco State of AI Security 2026 (100% pianificati / 29% preparati), Cisco Live 2026 (tassonomia minacce AITech-12.1), Amy Chang — Cisco AI Threat Intelligence, ricerca sulle minacce esentire, eSecurity Planet. Tutte le fonti citate sono pubblicazioni 2025-2026.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.