W 2016 roku badacze bezpieczeństwa odkryli pakiet npm o nazwie która była literówką popularnej biblioteki — „crossenv” zamiast „cross-env”. Tysiące projektów zainstalowało go zamiast oryginału. Pakiet zbierał zmienne środowiskowe i wysyłał je na zewnętrzny serwer. Zmienna środowiskowa NODE_ENV, DATABASE_URL, API_KEY — wszystko to trafiło do atakującego.
Typosquatting w npm był możliwy bo ekosystem był otwarty: każdy mógł opublikować pakiet o dowolnej nazwie. Ekosystem MCP ma podobny problem.
Czym jest rogue MCP server
Rogue MCP server to złośliwy serwer MCP udający legitymowany serwis — przez typosquatting nazwy, podszywanie się pod znany serwis, lub kompromitację legitymowanego serwera — który serwuje agentom zatrute narzędzia, eksfiltruje dane z konwersacji, lub wykonuje nieautoryzowane akcje gdy agent się z nim połączy.
Typy rogue MCP servers
Typosquatting: serwer o nazwie „google-calender-mcp” zamiast „google-calendar-mcp” albo „anthroplc-tools” zamiast „anthropic-tools”. Developer lub agent który kopiuje nazwę serwera z nieuwagą podłącza się do złośliwego serwisu zamiast legitymowanego.
Podszywanie: serwer który deklaruje w manifeście że jest oficjalnym narzędziem, używa podobnych opisów narzędzi i ikon. Bez kryptograficznej weryfikacji tożsamości serwera nie ma mechanizmu który odróżni podróbkę od oryginału.
Kompromitacja legitymowanego serwera: atakujący przejmuje kontrolę nad serwerem który był legitymowany — przez atak na infrastrukturę, kradzież credentials dewelopera, lub złośliwy PR do open-source projektu. Wszyscy agenci którzy ufali temu serwerowi są teraz podłączeni do złośliwego.
Serwer jako man-in-the-middle: zamiast bezpośrednio serwować złośliwe narzędzia, rogue MCP server pośredniczy między agentem a legitymowanym serwisem — przesyłając zapytania dalej ale logując wszystkie dane które przez niego przechodzą.
Dlaczego rejestry MCP są krytyczne
NPM ma rejestr z moderacją i raportowaniem złośliwych pakietów. Ekosystem MCP w 2026 roku nie ma jednego, ustandaryzowanego rejestru z podobnym poziomem weryfikacji. Anthropic prowadzi własny katalog MCP servers, podobnie inne firmy — ale nie ma globalnego, autorytatywnego rejestru z kryptograficzną weryfikacją właściciela.
To jest analogia do internetu przed CA/Browser Forum — każdy mógł wydać certyfikat SSL dla dowolnej domeny, co prowadziło do masowych ataków man-in-the-middle. Rozwiązaniem był system weryfikacji właścicieli domen. Ekosystem MCP potrzebuje analogicznego rozwiązania.
Obrona dziś
Whitelist serwerów: agent może podłączać się wyłącznie do serwerów z zaakceptowanej listy. Lista jest zarządzana przez operatora i wymaga jawnej decyzji żeby dodać nowy serwer.
Weryfikacja certyfikatów: gdy dostępne — używaj serwerów MCP które obsługują kryptograficzną weryfikację tożsamości (Web Bot Auth, podpisy kryptograficzne). Serwer który nie może udowodnić tożsamości powinien być traktowany jako potencjalnie złośliwy.
Principle of least privilege: agent podłączony do serwera MCP powinien mieć minimalne uprawnienia niezbędne do zadania. Nawet jeśli serwer jest złośliwy i próbuje eksfiltrować dane — agent bez dostępu do wrażliwych zasobów nie ma czego eksfiltrować.
Monitoring połączeń MCP: logi wszystkich połączeń agenta z serwerami MCP, wraz z nazwami serwerów i wywoływanymi narzędziami. Nieznany serwer w logach to sygnał alarmowy.