MCP, il protocollo nato per collegare modelli linguistici e strumenti esterni, è finito al centro di un nuovo allarme di sicurezza. Un audit citato da VentureBeat sostiene che il trasporto STDIO, usato da molte integrazioni locali, può trasformare un connettore per agenti IA in una superficie di esecuzione comandi. La notizia conta perché MCP non è più un esperimento per pochi sviluppatori: è entrato negli IDE, nei tool aziendali e nei framework che automatizzano lavoro reale.
Il punto non è che un singolo prodotto sia rotto e basti aggiornarlo. Secondo la ricerca di OX Security, circa 200.000 server esposti e molte installazioni locali condividono lo stesso rischio di fondo: quando un agente può registrare o avviare un server MCP via STDIO, il confine tra assistente e shell diventa molto sottile. È lo stesso nodo che rende utile il Model Context Protocol come ponte tra IA e strumenti, ma anche più delicato da governare.
Il caso più sensibile riguarda gli ambienti di sviluppo. VentureBeat riporta che Windsurf sarebbe l'unico IDE analizzato in cui lo sfruttamento può avvenire senza interazione dell'utente, mentre Cursor, Claude Code e Gemini-CLI richiedono comunque un'approvazione o un passaggio manuale. Il problema è che un clic su una finestra di configurazione non sempre comunica in modo chiaro che si sta autorizzando l'esecuzione di codice locale.
Alcuni vendor hanno già corretto parti specifiche. LiteLLM, per esempio, è indicato come patchato per una falla di command injection, ma la correzione non modifica il comportamento del protocollo. Lo stesso vale per altri prodotti: si chiude un ingresso, ma una nuova configurazione STDIO può riprodurre la stessa classe di rischio se resta libera di avviare processi sul sistema host.
Anche i registri MCP entrano nel quadro. OX avrebbe inviato un proof-of-concept benigno a 11 registri e nove lo avrebbero accettato senza revisione di sicurezza, segnalando una catena di distribuzione ancora immatura. In pratica, un team può installare un server apparentemente utile e scoprire troppo tardi che quel pacchetto ha privilegi molto più vicini a quelli di un eseguibile che a quelli di una semplice estensione.
La mitigazione passa da misure poco spettacolari ma fondamentali: sandbox dei processi, allowlist realmente controllate, verifica manuale delle configurazioni e disattivazione della registrazione automatica dei server. Per le aziende che stanno introducendo agenti IA nei flussi di lavoro, il messaggio è chiaro: l'automazione può far risparmiare tempo solo se i permessi sono progettati come parte dell'architettura, non aggiunti dopo il primo incidente.
