Onderzoekers hebben een kritieke fout gevonden in de opzet van het Model Context Protocol, oftewel MCP. Die fout kan leiden tot remote code execution, of simpel gezegd: een aanvaller kan op afstand opdrachten uitvoeren op een systeem dat een kwetsbare MCP-implementatie draait.
Dat is geen klein foutje. Volgens de bron kan dit ook een kettingreactie geven in de AI-keten waar MCP mee samenwerkt.
Wat is er gebeurd?
MCP is gebouwd om AI-systemen netjes te laten praten met andere tools en systemen. Maar juist in die opzet zit nu een “by design” zwakte, dus een zwakte die in het ontwerp zelf zit.
Onderzoekers zeggen dat deze fout Arbitrary Command Execution mogelijk maakt. Dat betekent dat een aanvaller niet alleen iets leest of verstoort, maar echt eigen opdrachten kan laten uitvoeren op de computer die kwetsbaar is.
Dat raakt niet alleen één losse machine. Als zo’n MCP-onderdeel in een groter AI-systeem zit, kan het effect verder reiken dan één werkplek of server.
Waarom dit belangrijk is
Dit nieuws is vooral belangrijk omdat MCP niet om een hobbytool gaat, maar om een protocol dat AI-koppelingen mogelijk maakt. En daar zit vaak juist de link met echte systemen: apps, servers, interne tools en werkplekken.
Voor gewone gebruikers en kleine bedrijven is het kernpunt simpel:
- als je MCP gebruikt in een systeem dat kwetsbaar is, kan een aanvaller verder komen dan je denkt;
- het kan gevolgen hebben voor apparaten die gekoppeld zijn aan AI-tools of diensten;
- als zo’n systeem onderdeel is van een grotere keten, kan de schade zich verspreiden.
Kort gezegd: het probleem zit niet alleen in de AI zelf, maar in de brug tussen AI en andere systemen.
Wie loopt risico?
Het directe risico ligt bij systemen die een kwetsbare MCP-implementatie draaien. De bron noemt geen lijst met producten of versies, dus die ga ik ook niet invullen.
Voor jou telt dit vooral mee als je:
- AI-tools gebruikt die met andere systemen praten;
- een kleine werkplek hebt met eigen servers, apps of automatisering;
- een leverancier gebruikt die MCP inzet in zijn dienst;
- zelf iets bouwt rond AI-koppelingen of interne tools.
Ook als je geen ontwikkelaar bent, kun je er last van krijgen als een leverancier dit in zijn software heeft verwerkt. Dan zit het probleem ergens “onder de motorkap”, maar jij merkt het wel als systemen vreemd gedrag gaan vertonen of als er snel actie nodig is.
Wat merk jij hiervan?
voor de meeste mensen betekent dit niet dat je laptop ineens vanzelf overneemt. Het is geen aanval die iedereen direct op hetzelfde moment raakt. Het gaat om systemen waarin MCP kwetsbaar is en waar een aanvaller misbruik van kan maken.
wat je mogelijk wel merkt:
- een tool of koppeling die plots niet goed werkt;
- onverwachte opdrachten of taken die uitgevoerd lijken te zijn;
- extra waarschuwingen van een leverancier;
- een dringende update of uitzetadvies voor een AI-koppeling;
- in het slechtste geval: toegang tot systemen die je juist wilde afschermen.
Voor kleine bedrijven is vooral dat laatste spannend. Als een AI-koppeling toegang heeft tot interne tools, kan een fout in die schakel meer doen dan alleen een melding geven. dan raak je ook bestanden, processen of andere gekoppelde systemen.
wat kun je nu doen?
Je hoeft niet meteen in paniek je hele IT om te gooien. Maar het is wel slim om even te checken waar MCP in jouw omgeving mogelijk wordt gebruikt.
Snelle checklist
- Vraag na of je gebruikte AI-tooling of leverancier MCP inzet.
- Check of er een melding is over een kwetsbare MCP-implementatie.
- Kijk of er updates of adviezen zijn van je leverancier.
- Beperk koppelingen die meer mogen dan echt nodig is.
- Houd logs en meldingen in de gaten als je een AI-koppeling gebruikt.
- Laat gevoelige systemen niet onnodig “open” praten met tools die je niet goed kent.
Als je zelf niets met MCP doet, is dit nog steeds nuttige nieuwswaarde. Het kan betekenen dat een leverancier of dienst waar je op leunt, werk moet doen aan de beveiliging. Dan is het goed om updates en meldingen niet te missen.
| Punt | Wat betekent het? | Waarom jij erop let |
|---|---|---|
| Kwetsbare MCP-implementatie | Fout in de opzet die misbruik mogelijk maakt | Kan leiden tot code-uitvoering op systemen |
| Arbitrary Command Execution | Aanvaller kan eigen opdrachten laten draaien | Dat is meer dan alleen meekijken |
| AI-supply chain | Keten van AI-tools en koppelingen | Schade kan verder reiken dan één systeem |
Goed om te onthouden
De kern van dit nieuws is simpel: een protocol dat AI-systemen helpt koppelen, blijkt een gevaarlijke zwakte te hebben in het ontwerp. Daardoor kan een aanvaller op een kwetsbaar systeem opdrachten uitvoeren.
Voor gewone gebruikers is de les vooral: kijk niet alleen naar de AI-tool zelf, maar ook naar de koppelingen eromheen. Daar zit soms de beverharde schakel waar niemand eerst op let 🦫
Als je dit nieuws volgt, is NIST zet rem op extra uitleg bij veel nieuwe CVE-meldingen ook nog wel interessant.
Meer lezen
De bron achter dit nieuws kun je ook zelf nalezen via Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain.
Bevers gedachte
Dit soort nieuws laat zien dat slimme tools ook slimme risico’s meebrengen. Niet alles wat “handig gekoppeld” is,is ook meteen veilig gekoppeld.
Als je een laptop, browser, mailbox of werkplek gebruikt die met AI-tools praat, is het verstandig om meldingen van leveranciers serieus te nemen. Niet omdat je direct bang moet zijn, maar omdat dit soort fouten vaak pas zichtbaar wordt als iemand er misbruik van probeert te maken.