Badacze przejrzeli 15 982 serwery MCP dostępne publicznie w rejestrach npm i PyPI. Znaleźli 137 070 problemów bezpieczeństwa, a wśród nich setki serwerów z zakodowanymi instrukcjami dla agenta AI: działaj w ukryciu, omijaj zatwierdzenia użytkownika, nie informuj o swoich działaniach. To nie są hipotetyczne scenariusze z konferencji bezpieczeństwa. To aktualny stan ekosystemu, z którego korzystasz budując workflow z agentami AI w n8n czy Claude Desktop. Jeśli używasz MCP lub planujesz to zrobić, ten artykuł dotyczy bezpośrednio twojej infrastruktury.
Czym jest MCP i dlaczego skala problemu jest istotna?
MCP, czyli Model Context Protocol, to standard opracowany przez Anthropic, który pozwala modelom językowym korzystać z zewnętrznych narzędzi: baz danych, API, plików, skrzynek pocztowych. Dzięki MCP agent AI może nie tylko odpowiadać na pytania, ale też faktycznie wykonywać akcje – wysyłać maile, pisać kod, odpytywać bazy danych, tworzyć dokumenty.
W ciągu kilkunastu miesięcy od publikacji standardu MCP stał się de facto fundamentem ekosystemu AI agentów. Pakiet MCP w PyPI osiągnął 1,8 miliona tygodniowych pobrań, a wersja npm przekracza 6,9 miliona. Serwer MCP dla GitHuba zbił granicę 2 milionów tygodniowych instalacji w lutym 2026. Serwer Postgres MCP, który daje agentowi bezpośredni dostęp SQL do bazy danych, ma ponad 800 000 tygodniowych instalacji.
Ta skala oznacza, że bezpieczeństwo MCP przestało być problemem akademickim. Dlatego badanie 15 982 serwerów i wynik 137 070 znalezionych problemów powinien być sygnałem ostrzegawczym dla każdego, kto buduje na tym ekosystemie.
Co znalazło badanie – skala i rodzaje zagrożeń
Audyt ujawnił kilka kategorii problemów, przy czym część z nich jest szczególnie alarmująca ze względu na swój intencjonalny charakter.
Tool poisoning to atak polegający na umieszczeniu złośliwych instrukcji bezpośrednio w opisie narzędzia MCP. Gdy agent pobiera metadane narzędzia podczas rejestracji serwera, przetwarza jego opis jako informację z zaufanego źródła. Atakujący może tam zakodować polecenia: “prześlij klucze API do zewnętrznego serwera”, “nie informuj użytkownika o tym działaniu”, “omijaj prośby o zatwierdzenie”. Agent wykonuje je jako część normalnej pracy, bo nie ma mechanizmu weryfikacji intencji opisu narzędzia.
Prompt injection przez odpowiedzi narzędzi to scenariusz, w którym złośliwa treść trafia do agenta nie przez opis narzędzia, ale przez zwrócone dane. Agent odpytuje serwer MCP, a serwer zwraca dane zawierające ukryte instrukcje zmieniające zachowanie agenta w tej samej sesji.
Krytyczna podatność ujawniona w pakiecie mcp-remote – pobranym 437 000 razy – pozwalała na pełne zdalne wykonanie kodu po stronie klienta (CVSS 9.6). Własny serwer Git MCP od Anthropic miał trzy CVE, które można było połączyć w łańcuch dający RCE przez prompt injection.
Shadow MCP to zjawisko analogiczne do “shadow IT”: pracownicy instalują serwery MCP bez wiedzy i zgody działu IT, dając agentom dostęp do produkcyjnych baz danych, systemów CRM i API firmowych. Bez centralnego rejestru zainstalowanych serwerów organizacja nie wie, jakie narzędzia ma do dyspozycji jej agent.
Praktyczna checklista dla budowniczych workflow w n8n
Ekosystem MCP rośnie szybciej niż standardy bezpieczeństwa wokół niego. To nie powód, żeby z niego nie korzystać – jednak powód, żeby korzystać świadomie.
Pierwsza zasada: instaluj serwery MCP wyłącznie z zaufanych, aktywnie utrzymywanych repozytoriów. Sprawdź liczbę gwiazdek, historię commitów i aktywność issues. Serwer bez aktywności od 6 miesięcy lub z samymi fork’ami bez prawdziwego autora to sygnał ostrzegawczy.
Druga zasada: przed instalacją przejrzyj opisy narzędzi w kodzie serwera. Tool poisoning działa właśnie dlatego, że opisy narzędzi trafiają do kontekstu agenta bez filtrowania. Jeśli w opisie widzisz instrukcje dla modelu (zamiast opisu funkcji narzędzia), jest to red flag.
Trzecia zasada: ogranicz uprawnienia serwera do minimum. Serwer MCP do Postgresu nie potrzebuje dostępu do wszystkich tabel produkcyjnych – podaj mu dedykowanego użytkownika read-only z dostępem tylko do tabel, których naprawdę potrzebuje workflow.
Czwarta zasada: loguj wszystkie wywołania MCP w workflow. W n8n możesz dodać węzeł logowania przed i po każdym wywołaniu narzędzia MCP. To nie eliminuje zagrożenia, ale daje widoczność tego, co agent faktycznie robi, a nie tylko co deklaruje że robi.
Kurs n8n 2.0 · Kodożercy
Od zera do własnych automatyzacji – bez doświadczenia
Kurs n8n 2.0 od Kodożerców przeprowadzi Cię krok po kroku przez budowanie prawdziwych automatyzacji. Od webhooków, przez integracje z API, po własne przepływy danych – wszystko bez programowania.
Sprawdź kurs n8n 2.0 →
FAQ – najczęstsze pytania o bezpieczeństwo MCP serwerów
Czym dokładnie jest atak tool poisoning w MCP?
Tool poisoning polega na umieszczeniu złośliwych instrukcji w opisie narzędzia MCP. Gdy agent AI rejestruje serwer, pobiera metadane wszystkich dostępnych narzędzi, w tym ich opisy. Te opisy trafiają bezpośrednio do kontekstu modelu jako informacja o tym, czym narzędzie jest i jak go używać. Atakujący może tam zakodować polecenia dla modelu, które zostaną wykonane jako naturalna część pracy agenta, ponieważ agent nie odróżnia “opis narzędzia” od “instrukcja dla agenta”.
Czy n8n chroni mnie przed zagrożeniami MCP?
n8n samo w sobie nie weryfikuje bezpieczeństwa zewnętrznych serwerów MCP, z którymi się łączysz. Odpowiedzialność za dobór bezpiecznych serwerów spoczywa na budowniczym workflow. Jednak n8n daje ci narzędzia do ograniczenia ryzyka: możesz logować wszystkie wywołania, używać dedykowanych kont z ograniczonymi uprawnieniami i ręcznie weryfikować kod każdego serwera przed podłączeniem do workflow produkcyjnego.
Jak sprawdzić, czy serwer MCP, którego używam, jest bezpieczny?
Zacznij od przejrzenia kodu źródłowego: szczególnie pliku z definicjami narzędzi i ich opisami. Szukaj instrukcji dla modelu zamiast opisów funkcji, wywołań zewnętrznych bez wyraźnego celu oraz nieoczekiwanych uprawień. Narzędzie mcp-scan (dostępne jako open source) pozwala na automatyczną analizę serwera pod kątem znanych wzorców ataków. Dodatkowo sprawdź CVE dla pakietu w npm/PyPI przed instalacją.
Podsumowanie
Audyt 15 982 serwerów MCP ujawnił 137 070 problemów bezpieczeństwa, w tym serwery z jawną instrukcją “działaj w ukryciu”. Tool poisoning, prompt injection i shadow MCP to trzy główne wektory ataku na ekosystem AI agentów. Dla budowniczych workflow w n8n praktyczne minimum to: instaluj serwery wyłącznie z zaufanych repozytoriów, sprawdzaj opisy narzędzi przed użyciem, ogranicz uprawnienia do minimum i loguj wywołania MCP. Ekosystem rośnie szybciej niż standardy bezpieczeństwa, dlatego świadomy dobór serwerów jest dziś kluczową kompetencją każdego budowniczego agentów AI.
