Terug naar blog
AI Security2026-03-319 min read

MCP-beveiligingscrisis — Het protocol dat je AI-agents aandrijft heeft een kritiek blootstellingsprobleem

100% van de ondernemingen plant agentic AI-implementaties. Slechts 29% voelt zich klaar om deze te beveiligen. Het probleem zit in MCP-servers — het open protocol dat AI-agents verbindt met enterprise tools en data — en het probleem wordt nu al actief uitgebuit.

De MCP-adoptiekoers waar niemand het over heeft

Het Model Context Protocol (MCP) ging in minder dan twee jaar van een open-source project van Anthropic naar beheer door de Linux Foundation en naar vrijwel universele enterprise-adoptie. De downloadcijfers worden inmiddels gemeten in tientallen miljoenen. Google en Microsoft hebben het geïntegreerd in hun AI-platforms. Enterprise-ontwikkelaars bouwen MCP-serverintegraties als standaard architectuurpatroon. Het protocol dat AI-agents verbindt met tools, databronnen en enterprise-systemen is kritieke infrastructuur geworden — sneller dan de meeste securityteams het konden evalueren.

De adoptiecurve heeft de security-evaluatiecurve ingehaald met een aanzienlijke marge. Het State of AI Security 2026-onderzoek van Cisco documenteerde de kloof: elke organisatie die agentic AI-implementaties plantte — 100% — gaf aan dat MCP-integratie deel uitmaakte van hun strategie. Maar slechts 29% van diezelfde organisaties had het gevoel dat ze de security-controles hadden om MCP-implementaties te beschermen tegen misbruik. Die 71-puntenkloof tussen implementatiesnelheid en security paraatheid is het kwetsbaarheidsgebied dat dreigingsactoren nu beginnen te verkennen.

Het probleem is structureel. MCP-servers zijn nu ingebed in enterprise-werkflows met een tempo dat de traditionele security-reviewprocedure heeft omzeild. Ontwikkelaars deployen MCP-servers om AI-agents te verbinden met Slack, Notion, Box, Jira en interne databronnen omdat het de agents bekwamer maakt — niet omdat iemand een security-evaluatie heeft uitgevoerd van wat een MCP-server zou kunnen benaderen als deze gecompromitteerd raakt. De capability-uitbreiding gebeurde eerst. De security-evaluatie komt nu onder druk van gedocumenteerde incidenten bij.

Amy Chang, AI Threat Intelligence lead bij Cisco, heeft het probleem geduid als "multi-turn resilience" — de accumulatie van kwetsbaarheidsoppervlak die ontstaat wanneer AI-agents over langere sessies opereren met MCP-tooltoegang. Een beoordeling op basis van één prompt vormt geen afdoende weerspiegeling van het risico van een agent die context opbouwt, meerdere MCP-tools aanroept en acties ketent over sessies. Hoe langer een MCP-verbonden agent opereert, hoe meer data deze heeft benaderd en hoe groter het potentiële exfiltratieoppervlak.

De vijf MCP-attack vectors die nu al worden uitgebuit

Het dreigingslandschap voor MCP-implementaties is niet theoretisch. Onderzoek van Cisco Live 2026, gedocumenteerd in de AITech-12.1 dreigingstaxonomie, en rapporten van eSentire en eSecurity Planet hebben vijf attack vectors geïdentificeerd die nu al worden uitgebuit in enterprise-omgevingen.

1. Prompt Injection via MCP Tool Descriptions

MCP-servers maken hun capabilities zichtbaar via tool descriptions — gestructureerde metadata die een AI-agent vertelt wat een tool doet en hoe deze aan te roepen. Een aanvaller die een tool description kan controleren of manipuleren kan verborgen instructies injecteren die de agent interpreteert als onderdeel van zijn eigen taak.

Het gedocumenteerde geval van Cisco: een GitHub MCP-server bleek gecompromitteerd te zijn met geïnjecteerde instructies die, wanneer een AI-agent de server gebruikte, ervoor zorgden dat de agent data uit private repositories exfiltreerde naar een extern endpoint. De agent kreeg hiervoor geen expliciete opdracht. De instructies waren ingebed in de tool description en de agent volgde ze als onderdeel van zijn normale operatie. Dit is het fundamentele vertrouwensprobleem in MCP-security: agents vertrouwen tool descriptions als feitelijke operationele instructies, niet als potentiële attack vectors.

2. Tool Poisoning

Tool poisoning richt zich op de metadata en behavioral specification van MCP-tools zelf. Een aanvaller die de behavioral description van een MCP-tool kan publiceren of modificeren — in het MCP-registry, in een third-party server, of in een interne tool die is gecompromitteerd — kan veranderen wat de tool doet bij aanroeping. Een agent die een vergiftigde tool aanroept voert mogelijk geheel andere handelingen uit dan wat de tool description beweert.

De AITech-12.1.2 subcategorie in de taxonomie van Cisco addresseert dit specifiek: tools die ene functie lijken uit te voeren maar een andere uitvoeren, waarbij de behavioral delta onzichtbaar blijft voor de agent en de gebruiker totdat de schade wordt ontdekt.

3. Remote Code Execution via Gekoppelde MCP-servers

MCP-servers kunnen gekoppeld worden — waarbij de ene server de andere aanroept, of een lokale server remote servers aanroept over netwerkgrenzen heen. Deze koppeling creëert attack paths die niet bestaan in een single-server deployment.

Het koppelen van een lokale MCP-server met onvoldoende sandboxing aan een remote MCP-server die door een aanvaller wordt gecontroleerd, maakt remote code execution mogelijk op het enterprise-endpoint dat de lokale server draait. De architectuur die MCP krachtig maakt — de mogelijkheid om tool-capabilities samen te stellen over systemen heen — is dezelfde architectuur die code execution paths creëert die traditionele endpoint security niet monitort.

4. Overprivileged MCP Access

De OAuth-flows die MCP-servers gebruiken om verbinding te maken met enterprise SaaS-platforms — Slack, Notion, Box, Atlassian, Google Workspace — krijgen vaak meer permissies dan de taak van de agent vereist. Een MCP-server die documenten uit Notion hoeft te lezen krijgt vaak volledige Notion workspace-toegang in plaats van scoped toegang tot de specifieke workspace of pagina die de agent nodig heeft.

Het resultaat is een agent die, als de MCP-server gecompromitteerd raakt of de verbinding wordt onderschept, data kan exfiltreren uit de gehele Notion-workspace in plaats van de specifieke documenten die bedoeld waren om te benaderen. Het principe van least privilege ontbreekt vaak in MCP-server OAuth-configuraties omdat de standaard OAuth-consent flows brede toegang verlenen en de ontwikkelaars die deze servers deployen de defaults accepteren.

5. Supply Chain Compromise

Het MCP-server-ecosysteem — het registry van third-party servers dat ontwikkelaars gebruiken om capabilities toe te voegen aan hun agents — heeft dezelfde supply chain-risico's als elk software registry. Niet-geverifieerde third-party MCP-servers, versie-pinning failures die kwaadaardige updates automatisch laten binnenkomen, en onverifieerde server signatures betekenen dat de servers die ondernemingen verbinden met hun AI-agents mogelijk niet zijn wat ze beweren te zijn.

Versie-pinning failures zijn bijzonder problematisch in het MCP-ecosysteem omdat het protocol is ontworpen voor ontwikkelaarsgemak — servers updaten automatisch tenzij expliciet gepind. Een onderneming die zes maanden geleden een gepinde MCP-server heeft gedeployed kan stilzwijgend zijn geüpdatet naar een versie die gewijzigd gedrag bevat. Zonder actief versiebeheer en signature-verificatie is er geen manier om dit te weten.

Waarom Traditionele Security Tools MCP-attacks Niet Detecteren

De security-stack waar ondernemingen op vertrouwen voor hun conventionele infrastructuur is niet gebouwd om MCP-specifieke attack vectors te observeren, laat staan te voorkomen.

Endpoint detection and response (EDR)-tools genereren signalen gerelateerd aan AI-agent-processen — nieuwe executables, netwerkverbindingen naar AI-serviceproviders, ongebruikelijke data-access patterns. Maar EDR-tools begrijpen geen MCP-protocolsemantiek. Ze zien een proces dat een API-call maakt. Ze zien niet dat de API-call het resultaat was van een vergiftigde tool description die een agent instrueerde om data te exfiltreren naar een extern endpoint.

Secure Access Service Edge (SASE)-infrastructuur kan identificeren dat corporate devices verbinding maken met AI-serviceprovider endpoints. Het kan specifieke domeinen blokkeren. Het kan niet bepalen of de data die naar die endpoints wordt gestuurd het resultaat is van een legitieme gebruikersaanvraag of een prompt injection die de tool invocation-logica van de agent heeft gekaapt.

Web application firewalls en API gateways begrijpen eveneens alleen HTTP-verkeerspatronen, niet MCP-specifieke attack-semantiek. Een prompt injection ingebed in een tool description produceert HTTP-verkeer dat er identiek uitziet als een legitieme tool invocation.

De authentication-gap is even problematisch. MCP-servers initiëren OAuth-flows om verbinding te maken met enterprise SaaS-platforms. Die flows omzeilen de API-governance die organisaties hebben gebouwd voor gesanctioneerde AI-tools, omdat de MCP-server de OAuth-call maakt, niet een managed client application. De identity and access management-infrastructuur ziet een OAuth-grant van een enterprise-gebruiker aan een SaaS-platform — het ziet niet dat de grant werd geïnitieerd door een MCP-server die als autonome agent namens de gebruiker opereert.

Het kill-switch-probleem verergert dit alles. De meeste ondernemingen hebben geen mechanisme om MCP-serveroperaties onmiddellijk op te schorten tijdens een security-incident. Wanneer een gecompromitteerde MCP-server wordt geïdentificeerd, wordt de responstijd om zijn toegang in te trekken en zijn operaties te beëindigen gemeten in de tijd die het kost om te identificeren welke servers draaien, welke API-credentials ze gebruiken en hoe ze te revoceren — een proces dat uren kan duren waarin de gecompromitteerde server blijft opereren.

Het MCP Security Framework dat Ondernemingen Nu Nodig Hebben

De aanbevelingen van Cisco Live 2026, het dreigingsintelligenteteam van Amy Chang en het bredere security-onderzoeksdomein convergeren naar een zescomponenten-framework dat ondernemingen die MCP deployen nu moeten implementeren.

1. Audit Je MCP-inventaris

Je kunt niet beveiligen wat je niet kunt zien. Elke MCP-server, modelverbinding, API-key en tool-integratie die momenteel in je onderneming opereert, moet worden gedocumenteerd. Dit omvat servers gedeployed door IT en de Shadow AI MCP-servers die medewerkers zonder IT-betrokkenheid hebben gedeployed — wat direct verbonden is met het Shadow AI-governanceprobleem.

De audit moet niet alleen coveren welke servers er bestaan, maar ook welke toegang elke server heeft gekregen, welke OAuth-tokens actief zijn en welke data elke server kan bereiken. Veel ondernemingen zullen verrast zijn door hoeveel MCP-servers draaien en hoeveel toegang ze hebben.

2. Pre-Integratiescanning

Voordat een MCP-server in een productieomgeving wordt gedeployed, moet deze worden gescand op risico's in zijn tool descriptions, prompt templates en resource-access specifications. Cisco's MCP Scanner en vergelijkbare tools kunnen potentieel kwaadaardige of overreikende tool descriptions identificeren die onbevoegde instructies zouden injecteren, overmatige permissies zouden aanvragen of resources buiten de gedeclareerde functie van de server zouden benaderen. Behandel MCP-serverintegratiereviews hetzelfde als je第三方-library imports in je code.

3. Least-Privilege Tool Rules

MCP-servers moeten worden gedeployed met de minimale permissies vereist voor hun functie. OAuth-grants moeten worden gescoord naar specifieke workspaces, documenten of data-objecten in plaats van op platformniveau te worden verleend. Een Notion MCP-integratie moet toegang hebben tot de specifieke Notion-workspace en -pagina's die het nodig heeft, niet volledige workspace admin-toegang. Dit beperkt de blastradius als een server wordt gecompromitteerd.

4. Runtime Allowlists en Telemetrie

Statische configuratie is niet afdoende voor MCP-security. Ondernemingen hebben continue monitoring nodig van welke MCP-servers draaien, welke tools ze aanroepen, welke data ze benaderen en welke outputs ze produceren. Allowlist-gebaseerde controle — alleen goedgekeurde MCP-servers mogen opereren — met behavioral telemetrie die in een security-monitoringsysteem wordt gevoed, maakt detectie mogelijk van afwijkende MCP-activiteit die statische configuratie zou missen.

5. Geautomatiseerde Kill-Switch Capableheid

Wanneer een MCP-gerelateerde security-incident wordt geïdentificeerd, moet de respons onmiddellijk zijn. Ondernemingen hebben de technische capability nodig om MCP-servercredentials te revoceren, draaiende MCP-processen te beëindigen en getroffen endpoints te isoleren binnen minuten, niet uren.

Dit vereist vooraf gebouwde runbooks, geautomatiseerde credential-revocatie en geteste isolatieprocedures. De kill-switch-capability moet bestaan vóór een incident, niet worden ontworpen tijdens een.

6. Supply Chain Governance

MCP-serverversies moeten worden gepind in productieomgevingen. Server signatures moeten worden geverifieerd voor deployment. Third-party MCP-servers moeten door een procurement-equivalent reviewproces gaan voordat ze worden geïntegreerd in productie-agent-werkflows. De supply chain-risico's in het MCP-ecosysteem zijn reëel en gedocumenteerd — MCP-servers behandelen als vertrouwde infrastructuur zonder verificatie is de kwetsbaarheid.

De Governance Imperatief

MCP-security is een enterprise-governanceprobleem, niet uitsluitend een security-teampprobleem. De organisaties die MCP-servers het snelst hebben gedeployed waren development- en AI-platformteams — niet securityteams. Het governance-framework moet die teams ontmoeten waar ze zijn.

De meest praktische onmiddellijke actie is om MCP-governance te verbinden aan het AI Acceptable Use Policy en het Shadow AI-remediëringsprogramma. Medewerkers die MCP-servers buiten IT-governance hebben gedeployed hebben een veilig mechanisme nodig om deze te disclosen, en ze hebben ondersteuning nodig bij de transitie naar governed MCP-configuraties.

De kosten van inactiviteit zijn meetbaar. Het gedocumenteerde GitHub MCP-server-exfiltratievoorval van Cisco demonstreert dat de attack vectors niet theoretisch zijn. De Gartner-prognose van 40% AI-compliance-incidenten tegen 2030, deels aangedreven door data leakage op MCP- en agent-niveau, is het vooruitziende gevolg van een protocol dat sneller werd gedeployed dan het werd beveiligd.

Als je nu niet elke MCP-server kunt noemen waarmee je AI-agents zijn verbonden, heb je al een probleem. De vraag is of je erachter komt via een security team dat het detecteerde, of via een dreigingsactor die het eerst uitbuitte.

MCP Attack Taxonomy (Gebaseerd op Cisco Live 2026 — AITech-12.1)

| Attack Vector | Categorie | Risico | |---|---|---| | Prompt injection via tool description | AITech-12.1.1 | Data exfiltratie, session hijacking | | Tool poisoning | AITech-12.1.2 | Behavioral manipulatie, onbevoegde acties | | Remote code execution (gekoppelde servers) | AITech-12.1.3 | Endpoint-compromittering | | Overprivileged OAuth-access | AITech-12.1.4 | Laterale beweging, data-exposure | | Supply chain compromise | AITech-12.1.5 | Vertrouwde server → kwaadaardig gedrag |

Onderzoeksynthese door Agencie. Bronnen: Cisco State of AI Security 2026 (100% plant / 29% voorbereid), Cisco Live 2026 (AITech-12.1 dreigingstaxonomie), Amy Chang — Cisco AI Threat Intelligence, eSentire dreigingsonderzoek, eSecurity Planet. Alle geciteerde bronnen zijn publicaties uit 2025-2026.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.