Přejít na hlavní obsah
CIAD

Kritická bezpečnostní chyba v srdci AI agentů: co hrozí vaší firmě

Výzkum odhalil závažné zranitelnosti v protokolu, který propojuje AI asistenty s firemními systémy. Přes 12 tisíc služeb bez ochrany.

Firmy po celém světě začínají nasazovat AI asistenty, kteří se připojují k interním systémům: čtou databáze, posílají e-maily, volají firemní API. Aby to fungovalo, potřebují tito asistenti „přípojku” ke zbytku světa. Tu zajišťuje protokol zvaný MCP (Model Context Protocol). A právě v něm byly v červnu 2026 objeveny závažné bezpečnostní chyby.

Co je MCP a proč na tom záleží

MCP (Model Context Protocol) je otevřený standard, který udržuje společnost Anthropic. Funguje jako univerzální „zástrčka”: AI agent se přes něj připojí k e-mailu, databázi, internímu softwaru nebo jakémukoli jinému nástroji. Adopce MCP v podnikovém prostředí rychle roste a v průběhu roku 2026 se stal de facto standardem pro integraci AI asistentů do firem.

Bezpečnostní společnost OX Security zveřejnila výzkum, který odhaluje, že tento standard má závažné systémové bezpečnostní problémy.

Co výzkum konkrétně zjistil

Výzkum OX Security identifikoval kritickou třídu zranitelností umožňující vzdálené spuštění kódu (Remote Code Execution, RCE). RCE znamená, že útočník může na vašem serveru spustit libovolný program, aniž by k němu měl fyzický přístup. Jde o jednu z nejzávažnějších kategorií bezpečnostních chyb.

Útočník, který takovou zranitelnost úspěšně zneužije, získá přístup k citlivým datům, databázím, API klíčům (tedy přihlašovacím tokenům k externím službám) a celé historii konverzací daného AI agenta. MCP servery přitom v podnikovém nasazení typicky slouží jako most mezi AI modelem a kritickými interními systémy.

Souběžně byl v praxi zachycen první škodlivý MCP server. Balíček s názvem „postmark-mcp” po 15 čistých verzích přidal do kódu exfiltrační backdoor, tedy skrytou zadní vrátka pro odesílání dat ven. Jde o klasický útok na dodavatelský řetězec (supply chain attack): zákeřný kód přichází skrze zdánlivě legitimní a zavedený balíček, nikoli přes neznámý zdroj.

Framework VIPER-MCP, určený k automatizované analýze bezpečnosti MCP komponent, prohledal přibližně 40 000 repozitářů a odhalil 106 dosud nezveřejněných zranitelností (zero-day; tedy chyb, pro které ještě neexistuje záplata). Vyhledávač Censys identifikoval 12 520 MCP služeb dostupných přímo z internetu, přičemž přibližně 40 % z nich nevyžaduje žádnou autentizaci (ověření totožnosti uživatele).

Dopad na českou a evropskou firmu

Kombinace tří faktorů je znepokojivá: RCE zranitelnosti v jádru protokolu, supply chain útok skrze škodlivý balíček a rozsáhlá expozice MCP služeb bez autentizace.

Organizace, které nasazují AI agenty připojené k interním systémům prostřednictvím MCP, čelí novému útočnému povrchu, jehož bezpečnostní parametry dosud nebyly systematicky prověřeny.

Regulatorní rámec EU v oblasti AI (AI Act) a směrnice NIS2 budou vyžadovat, aby organizace prokázaly řízení rizik i v kontextu AI nástrojů a jejich integračních vrstev.

Co udělat teď

  • Proveďte inventuru všech nasazených MCP serverů a integračních bodů AI agentů ve vaší organizaci, včetně balíčků od třetích stran.
  • Zajistěte, aby žádný MCP server dostupný z internetu nebo interní sítě nebyl provozován bez autentizace a šifrování přenosu.
  • Zaveďte kontrolu integrity a provenienci MCP balíčků před jejich nasazením, analogicky k praktikám bezpečnosti softwarového dodavatelského řetězce (SBOM a podepisování balíčků).
  • Monitorujte chování MCP serverů na neobvyklé síťové aktivity a pokusy o přístup k citlivým datovým zdrojům.
  • Sledujte vydání záplat od správců MCP implementací a zajistěte jejich rychlé nasazení v souladu s vaší patch management politikou.

Co z toho plyne

MCP se rychle stal standardem pro propojení AI agentů s firemními systémy. Výzkum OX Security ukazuje, že tento standard nese závažná bezpečnostní rizika: možnost vzdáleného ovládnutí serverů útočníkem, škodlivé balíčky vydávající se za legitimní software a 12 520 MCP služeb dostupných přímo z internetu, přičemž přibližně 40 % z nich funguje bez jakéhokoli ověření totožnosti. Firmy nasazující AI agenty by měly provést bezpečnostní audit svých MCP integrací ještě předtím, než regulatorní požadavky AI Act a NIS2 vstoupí v plnou platnost.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog