MCP Security: 40+ Lỗ Hổng Trong 4 Tháng — Developer Cần Biết Gì?

MCP: Surface Attack Mới Của AI Agent
MCP từ dự án phụ của Anthropic thành chuẩn công nghiệp trong 12 tháng. OpenAI, Google, Microsoft đều hỗ trợ. Nhưng từ tháng 1 đến tháng 4/2026, hơn 40 CVE đã được công bố — một CVE mới mỗi 4 ngày.
Tại Sao MCP Dễ Bị Tấn Công?
MCP dùng STDIO làm transport chính mà không xử lý input. Kiến trúc subprocess khiến thực thi lệnh trở thành interface mặc định. Bốn vector tấn công chính:
- Command injection qua STDIO — 43% tổng số CVE
- Lỗ hổng infrastructure tooling — 20%
- Bypass xác thực — 13%
- Path traversal — 10%
Điểm đáng lo: MCP cho phép LLM tự quyết định gọi tool nào, khi nào. Không như API truyền thống — developer kiểm soát mọi call. Đây là cơ hội cho prompt injection và confused deputy attack.
Các Vụ Nổi Bật
- CVSS 9.4-9.6, hàng trăm nghìn download bị ảnh hưởng
- 30+ CVE chỉ trong tháng 1-2/2026
- 200,000 server bị ảnh hưởng (tháng 4/2026)
- 9/11 MCP marketplace, 150 triệu lượt download tool bên thứ ba dính lỗ hổng
Developer Nên Làm Gì?
Ngay lập tức:
- Chặn truy cập public IP cho MCP service
- Sandbox hóa MCP server — không chạy quyền root
- Treat mọi cấu hình bên ngoài là untrusted
Dài hạn:
- Behavioral monitoring — theo dõi chuỗi hành động của agent, không chỉ từng call đơn lẻ
- Audit MCP server trước khi deploy — kiểm tra dependency, quyền truy cập, xử lý input
- Static analysis bắt được pattern known nhưng miss tấn công nhiều bước
Quy tắc vàng: Mỗi MCP server là một endpoint có quyền truy cập hệ thống. Treat nó như production service, không phải "plugin cài rồi quên".
Tóm Lại
MCP mở ra khả năng mạnh mẽ cho AI agent — nhưng cũng mở surface attack mới. Tốc độ disclosure CVE cho thấy đây không phải lý thuyết xa vời. Treat MCP security như phần bắt buộc của workflow.
Bài viết này là phần 38 của series AI For Developers — hướng dẫn thực tế cho developer muốn dùng AI trong công việc hàng ngày.
Related Posts
Akrites: Linux Foundation Và 18 'Ông Lớn' Cùng Nhau Bảo Vệ Open Source Trước AI
Linux Foundation công bố Akrites — liên minh 18 công ty gồm AWS, Google, OpenAI, Anthropic cùng phối hợp vá lỗ hổng open source trước khi AI của kẻ tấn công tìm ra trước.
Kỷ nguyên MCP: Khi AI Agent Vận Hành Hệ Thống Bằng AWS DevOps Agent
Không còn dừng lại ở việc chat, AI agent đang trực tiếp tham gia vận hành qua giao thức MCP, AWS Continuum và AWS DevOps Agent.
Nghẽn Cổ Chai Kiểm Thử: Khi AI Tìm Lỗi Quá Nhanh Nhưng Người Sửa Không Kịp
AI tìm ra 12 lỗi zero-day trong OpenSSL, nhưng curl lại phải khai tử bug bounty vì ngập trong báo cáo AI rác. Chào mừng bạn đến với kỷ nguyên nghẽn cổ chai kiểm thử.