alexi.sh
Tutti gli articoliSicurezza del browserPrivacy di reteStrumenti per la privacyModellazione delle minacceProgrammazione con IAStrumenti per sviluppatori

alexi.shLaboratorio di Ingegneria AI

ai-coding

Sicurezza MCP: I Rischi del Model Context Protocol e Come Gestirli (2026)

PrivSec Lab5 min di lettura
Codice sorgente in un editor scuro, un'illustrazione del codice che un agente AI legge ed esegue attraverso strumenti connessi

MCP consente agli agenti AI di collegarsi ai tuoi strumenti e dati attraverso un'unica interfaccia aperta — e quella connessione è la superficie di attacco. I veri rischi di sicurezza MCP nel 2026 (avvelenamento degli strumenti, rug pulls, attacchi cross-server) e come gestire in sicurezza i server MCP.

Il Model Context Protocol (MCP) è lo standard aperto che consente a un agente AI di collegarsi ai tuoi strumenti, file e app attraverso un'unica interfaccia comune — spesso descritto come "USB-C per l'AI". È davvero utile e tra il 2025 e il 2026 è stato adottato da assistenti AI, IDE e framework per agenti. Ma lo stesso connettore che rende un agente potente è anche la sua più grande superficie di attacco. I recenti passi verso la gestione degli agenti AI nelle imprese — fornitori di sicurezza che distribuiscono strumenti per monitorare gli agenti di codifica e livelli di governance basati su MCP che approdano all'interno di Claude, ChatGPT e Copilot — sono un segno della stessa cosa: collegare un agente al tuo ambiente è una decisione di sicurezza, non una semplice impostazione di comodità. Ecco il quadro onesto della sicurezza MCP nel 2026 e come gestirla.

Perché MCP è un problema di sicurezza, non solo una funzionalità

MCP di per sé è solo un'infrastruttura: un modo standard per un modello di scoprire strumenti, leggerne le descrizioni e chiamarli. Il rischio non è il protocollo — è ciò che vi scorre attraverso.

Quando un agente si connette a un server MCP, quel server fornisce due cose di cui il modello si fida: descrizioni degli strumenti (testo che dice al modello cosa fa ogni strumento e come chiamarlo) e output degli strumenti (qualsiasi cosa lo strumento restituisca). Il modello legge entrambi e agisce di conseguenza. Quindi ogni server MCP a cui ti colleghi è effettivamente codice e istruzioni che funzionano con i privilegi del tuo agente. Qualsiasi cosa l'agente possa raggiungere — i tuoi file, un repository, un'API, la tua email — un server malevolo può tentare di raggiungere attraverso l'agente.

Questo è lo stesso cambiamento che rende difficile la sicurezza degli agenti AI in generale, applicato a un connettore specifico: la sicurezza della tua configurazione MCP è la sicurezza di ogni server a cui ti colleghi.

I rischi specifici di MCP nel 2026

Questi non sono ipotetici — i ricercatori di sicurezza li hanno documentati su client MCP reali.

  • Avvelenamento degli strumenti. Un server malevolo nasconde istruzioni all'interno della descrizione di uno strumento — testo che il modello legge ma che l'utente di solito non vede. Uno strumento che sembra un innocuo add(a, b) può segretamente istruire l'agente a leggere file privati ed esfiltrarli. Poiché gli utenti tendono ad approvare le chiamate agli strumenti senza ispezionare la descrizione, questo è uno degli attacchi specifici di MCP più impattanti.
  • Rug pulls (ridefinizione silenziosa). Uno strumento MCP cambia la propria definizione dopo che l'hai installato e approvato. Hai verificato qualcosa di sicuro; il server in seguito sostituisce il comportamento con uno malevolo senza avvisarti.
  • Ombreggiatura degli strumenti e attacchi cross-server. Quando diversi server si connettono allo stesso agente, uno compromesso può sovrascrivere o intercettare chiamate destinate a uno strumento fidato — un problema di "deputato confuso" in cui l'agente esegue gli ordini dell'attaccante pensando di utilizzare uno strumento legittimo.
  • La trifecta dell'esfiltrazione. La combinazione veramente pericolosa è un agente che ha dati privati, legge contenuti non fidati e ha un percorso di esfiltrazione verso l'esterno. MCP rende facile collegare accidentalmente tutti e tre.
  • Iniezione indiretta di prompt. Anche un server onesto restituisce output che l'agente legge — una pagina web, un problema, un documento — che possono contenere istruzioni nascoste. L'agente può obbedirvi come se provenissero da te.

Un primo piano del lato di un laptop che mostra una porta USB e uno slot per schede SD, illustrando MCP come un connettore universale per collegare strumenti a un AI

Come gestire in sicurezza MCP

Non è necessario evitare MCP. È necessario gestire ciò che si collega e confinarlo in modo che un singolo server malevolo non diventi un disastro. I principi sono vecchia saggezza di sicurezza applicata a un nuovo connettore.

  • Verifica e fissa server fidati. Preferisci server MCP ufficiali o ben recensiti. Non collegare server di terze parti arbitrari a un agente che ha accesso reale e osserva le definizioni degli strumenti che cambiano dopo l'installazione.
  • Minimo privilegio per server. Dai a ciascun server solo l'accesso di cui ha bisogno per il suo lavoro, utilizzando credenziali con ambito e revocabili — mai i tuoi account principali o chiavi di produzione. Se un server deve solo leggere, non permettergli di scrivere.
  • Limita il raggio d'azione. Evita di collegare molti server non fidati allo stesso agente, poiché un server compromesso può intercettare altri. Isola il lavoro sensibile da qualsiasi cosa che legga il web aperto.
  • Umano nel loop per azioni ad alto impatto. Richiedi conferma esplicita prima di qualsiasi cosa irreversibile — inviare denaro, eliminare dati, pubblicare pubblicamente, cambiare accesso. Lascia che l'agente rediga; tu approvi.
  • Tratta descrizioni e output degli strumenti come non fidati. Entrambi possono contenere istruzioni iniettate. La stessa cautela si applica quando un agente utilizza strumenti di revisione del codice AI o qualsiasi strumento che ingerisce contenuti esterni.
  • Registra e controlla le chiamate agli strumenti. Tieni traccia di quali server e strumenti l'agente ha utilizzato, in modo da poter individuare anomalie e revocare rapidamente.
  • Tieni i segreti fuori dai prompt e dagli argomenti degli strumenti. Password e chiavi API incollate in un prompt o in una chiamata a uno strumento diventano testo su un server. Usa token con ambito e gestori di segreti invece.

La conclusione onesta

La sicurezza MCP si riduce a un cambiamento di mentalità: un server MCP non è un plugin che installi e dimentichi — è un nuovo partecipante con autonomia e accesso, e dovresti trattarlo come uno di cui non ti fidi completamente. Il protocollo è aperto e utile; il pericolo sta nel concedere fiducia ampia e permanente a server che non hai verificato. Connettiti deliberatamente, limita ogni server strettamente, mantieni un controllo umano su qualsiasi cosa irreversibile e supponi che ogni descrizione e output degli strumenti possa tentare di dirottare il tuo agente. I team che ora costruiscono la governance attorno agli agenti AI — e gli agenti di codifica AI che si basano maggiormente su MCP — stanno convergendo esattamente su questo: connetti meno, fidati in modo ristretto e verifica.

Image: Pixabay (source)

Disponibile anche in

ENFRESDEPT

FAQ

Cos'è la sicurezza MCP?
La sicurezza MCP è la pratica di collegare in sicurezza modelli e agenti AI a strumenti e dati esterni attraverso il Model Context Protocol — uno standard aperto introdotto da Anthropic alla fine del 2024, spesso descritto come 'USB-C per l'AI'. MCP di per sé è solo un connettore: la questione di sicurezza è cosa ci colleghi e quanto ti fidi. Ogni server MCP a cui un agente si connette è codice e istruzioni che funzionano con l'accesso dell'agente, quindi un server malevolo o compromesso può leggere i tuoi dati, chiamare altri strumenti o agire per tuo conto. La sicurezza MCP significa verificare i server, limitare strettamente i permessi e trattare le descrizioni e gli output degli strumenti come input non fidati.
Cos'è l'avvelenamento degli strumenti in MCP?
L'avvelenamento degli strumenti avviene quando un server MCP malevolo nasconde istruzioni all'interno della descrizione o dei metadati di uno strumento — testo che il modello legge ma che l'utente di solito non vede. Il modello tratta quelle istruzioni nascoste come comandi, quindi uno strumento che sembra una funzione innocua 'aggiungi due numeri' può segretamente dire all'agente di leggere file privati e inviarli altrove. I ricercatori di sicurezza hanno documentato questo come uno dei rischi specifici di MCP più impattanti, perché gli utenti tendono ad approvare le chiamate agli strumenti senza ispezionare le descrizioni sottostanti.
Cos'è un rug pull MCP?
Un rug pull, chiamato anche ridefinizione silenziosa, avviene quando uno strumento MCP cambia la propria definizione dopo che l'hai già installato e di cui ti fidi. Approvi uno strumento che sembra sicuro, e successivamente il server sostituisce silenziosamente le istruzioni con altre malevole senza avvisarti. Un attacco correlato è l'ombreggiatura degli strumenti, dove un server malevolo sovrascrive o intercetta chiamate destinate a uno strumento fidato. Entrambi sfruttano il fatto che la fiducia concessa una volta raramente viene ricontrollata, motivo per cui monitorare le definizioni degli strumenti per eventuali cambiamenti è importante.
MCP è sicuro da usare?
MCP è ampiamente sicuro per l'uso quotidiano se ti connetti solo a server di cui ti fidi e limiti strettamente il loro accesso, ma non è sicuro collegare server di terze parti arbitrari con ampi permessi e allontanarsi. Il protocollo è un connettore aperto, quindi la sua sicurezza dipende interamente dai server a cui ti colleghi e dall'accesso che concedi loro. Usa server ufficiali o ben recensiti, dai a ciascuno credenziali revocabili separate invece dei tuoi account principali, mantieni un controllo umano per azioni ad alto impatto e rivedi cosa possono fare gli strumenti prima di approvarli.
Come posso proteggere i server MCP?
Applica il minimo privilegio: dai a ciascun server MCP solo l'accesso di cui ha bisogno per il suo lavoro, utilizzando token con ambito e revocabili piuttosto che chiavi amministrative o i tuoi account principali. Verifica e fissa server fidati, preferisci quelli ufficiali e osserva le definizioni degli strumenti che cambiano dopo l'installazione. Tratta le descrizioni e gli output degli strumenti come contenuti non fidati che possono contenere istruzioni iniettate. Evita di collegare molti server non fidati allo stesso agente, poiché un server compromesso può intercettare altri. Registra le chiamate agli strumenti in modo da poter controllare e revocare, e tieni i segreti fuori dai prompt e dagli argomenti degli strumenti.

Ricerca correlata

Arte digitale astratta generata dall'IA in colori vivaci

ai-coding

Cos'è l'IA generativa? Come funziona, spiegata in modo semplice (2026)

L'IA generativa è un software che crea nuovi contenuti — testo, immagini, codice, audio — a partire da un prompt. Cos'è, come funziona, cosa può e non può fare, e dove sono i veri limiti.

PrivSec Lab··3 min di lettura
Un ritratto digitale distorto da un glitch, metafora visiva di una risposta dell'IA sbagliata ma sicura di sé

ai-coding

Cos'è l'allucinazione dell'IA? Perché i chatbot inventano (2026)

L'allucinazione dell'IA è quando un modello afferma qualcosa di falso come se fosse vero. Cos'è, perché i modelli linguistici lo fanno, esempi reali e modi pratici per ridurla.

PrivSec Lab··2 min di lettura
Un server rack con più alloggiamenti per dischi

ai-coding

Cos'è un database vettoriale? Una guida semplice (2026)

Un database vettoriale memorizza i dati come vettori (embedding) e trova gli elementi in base al significato, non alla corrispondenza esatta. Cos'è, come funziona la ricerca per similarità, in cosa differisce da un database normale e perché RAG e ricerca AI ne dipendono.

PrivSec Lab··2 min di lettura