MCP Security: 40+ Lỗ Hổng Trong 4 Tháng — Developer Cần Biết Gì?
MCP: Surface Attack Mới Của AI Agent
MCP từ dự án phụ của Anthropic thành chuẩn công nghiệp trong 12 tháng. OpenAI, Google, Microsoft đều hỗ trợ. Nhưng từ tháng 1 đến tháng 4/2026, hơn 40 CVE đã được công bố — một CVE mới mỗi 4 ngày.
Tại Sao MCP Dễ Bị Tấn Công?
MCP dùng STDIO làm transport chính mà không xử lý input. Kiến trúc subprocess khiến thực thi lệnh trở thành interface mặc định. Bốn vector tấn công chính:
- Command injection qua STDIO — 43% tổng số CVE
- Lỗ hổng infrastructure tooling — 20%
- Bypass xác thực — 13%
- Path traversal — 10%
Điểm đáng lo: MCP cho phép LLM tự quyết định gọi tool nào, khi nào. Không như API truyền thống — developer kiểm soát mọi call. Đây là cơ hội cho prompt injection và confused deputy attack.
Các Vụ Nổi Bật
- CVSS 9.4-9.6, hàng trăm nghìn download bị ảnh hưởng
- 30+ CVE chỉ trong tháng 1-2/2026
- 200,000 server bị ảnh hưởng (tháng 4/2026)
- 9/11 MCP marketplace, 150 triệu lượt download tool bên thứ ba dính lỗ hổng
Developer Nên Làm Gì?
Ngay lập tức:
- Chặn truy cập public IP cho MCP service
- Sandbox hóa MCP server — không chạy quyền root
- Treat mọi cấu hình bên ngoài là untrusted
Dài hạn:
- Behavioral monitoring — theo dõi chuỗi hành động của agent, không chỉ từng call đơn lẻ
- Audit MCP server trước khi deploy — kiểm tra dependency, quyền truy cập, xử lý input
- Static analysis bắt được pattern known nhưng miss tấn công nhiều bước
Quy tắc vàng: Mỗi MCP server là một endpoint có quyền truy cập hệ thống. Treat nó như production service, không phải "plugin cài rồi quên".
Tóm Lại
MCP mở ra khả năng mạnh mẽ cho AI agent — nhưng cũng mở surface attack mới. Tốc độ disclosure CVE cho thấy đây không phải lý thuyết xa vời. Treat MCP security như phần bắt buộc của workflow.
Bài viết này là phần 38 của series AI For Developers — hướng dẫn thực tế cho developer muốn dùng AI trong công việc hàng ngày.