NSA: MCP is de nieuwe enterprise control plane - en hij is nog niet veilig
Ik zat laatst met een kop koffie naar mijn eigen MCP-configuratie te kijken. GitHub MCP, filesystem MCP, een Slack MCP, een database MCP, allemaal aan elkaar geregen via een paar JSON-regels. En ik dacht: als één van deze servers ooit gecompromitteerd raakt, heeft een aanvaller via mijn AI-agent toegang tot code, data én schrijfrechten. Allemaal via één protocol waarvan de specificatie zelf zegt: "MCP itself cannot enforce these security principles at the protocol level."
Toen de NSA een 17-pagina's tellend security advisory publiceerde over MCP, voelde dat niet als een verrassing. Het document is het eerste grote overheidsadvies over de beveiliging van Model Context Protocol. En de boodschap is helder: MCP groeit razendsnel uit tot dé standaard voor AI-agent communicatie, maar de beveiliging loopt structureel achter op de adoptie.
De zeven risicoclusters
De NSA identificeert zeven risicogebieden. Access control is optioneel of te grofmazig, MCP dwingt niet af hoe een sessie aan een identiteit wordt gekoppeld. GitHub MCP, filesystem MCP, database MCP: allemaal kwetsbaar voor overprivileged access. Serialization en context-injectie vormen het tweede risico: MCP-payloads zijn potentieel instructief of uitvoerbaar en moeten door een schema- en intent-filter. Ten derde: approval workflows zijn fragiel, "user clicked allow" is geen voldoende controle, want toestemming moet capability-specifiek, tijdsgebonden en herroepbaar zijn.
Token- en sessiebeveiliging is het vierde cluster. MCP gebruikt vaak bearer tokens maar schrijft geen verplicht protocolniveau voor voor refresh of revocation. Enterprise-eis: short-lived tokens, mTLS en expliciete revocation. Het vijfde risico is tool invocation path confusion, toolnamen worden automatisch uit publieke registries geresolved, wat supply-chain security in agentische vorm oplevert. Als zesde noemt de NSA GitHub MCP en repository-exfiltratie: blanket read/write toegang tot private én publieke repositories. En ten slotte multi-agent poisoning, waarbij output van agents door downstream agents als executable prompt wordt geïnterpreteerd, met cascading prompt injection en control-flow hijacking als gevolg. De NSA documenteert een WhatsApp MCP-exploit waarbij een malicious server via tool descriptions het client-gedrag manipuleerde, én CVE-2025-49596, een critical RCE in Anthropic MCP Inspector.
Aanbevelingen voor de praktijk
De NSA geeft tien concrete aanbevelingen. De belangrijkste: isoleer MCP-tools met seccomp, AppArmor of SELinux per tool. Onderteken en verifieer messages cryptografisch. Groepeer tools op dataclassificatie, publiek versus gereguleerd. Pas egress filtering toe via een DLP-proxy voor outbound MCP-connections. Forceer least privilege met expliciete deny op filesystem en netwerk. Filter tool-output op prompt injection markers. Log volledig: parameters, identities, cryptografische hashes per invocation. Scan periodiek met MCP Scanner of Ramparts. Houd een server inventory bij met versies en SBOM. En hardest het protocol zelf: dwing af wat de specificatie niet doet met een policy gateway tussen client en server.
Risico's in je eigen infra
Voor wie zelf met MCP werkt, zoals ik met Linux Server Workstation, Claude Code, Ollama en lokale MCP-servers, zijn deze risico's direct herkenbaar. Een ongeauthenticeerde lokale MCP-server op het netwerk is kritiek. GitHub MCP met brede repo-rechten eveneens. Tool poisoning, prompt injection, token replay, naming collisions, RCE via dev tools, het zijn allemaal reële risico's met hoge impact. Minimale maatregelen: localhost binding, repo-scoped GitHub Apps, signed manifests, short-lived tokens en een invocation audit trail naar SIEM.
MCP industrialiseren, niet mijden
De NSA-guidance legitimeert een belangrijk architectuurprincipe: MCP is geen developer convenience layer meer, maar een nieuwe enterprise control plane voor AI-automatisering. Een MCP-server is functioneel vergelijkbaar met een combinatie van API gateway, plugin runtime, service account en workflow-engine, maar dan zonder dat het beveiligingsdenken is meegeëvolueerd.
Wie MCP zonder governance inzet, herhaalt de fouten van vroege API's en overprivileged service accounts, maar nu met probabilistische agents die context kunnen combineren en doorgeven. De juiste richting is MCP industrialiseren: interne registry, strict scoping, signed capabilities, sandboxed execution, policy gateway en agentic red teaming. Daarmee wordt MCP een bruikbare bouwsteen voor agentic automation, zonder dat het verandert in een onzichtbare exfiltratie- en execution-laag. Voor wie BIO2, NIS2 of de EU AI Act moet naleven is dit geen theoretische exercitie, een MCP-deployment zonder deze controls is simpelweg niet compliant.
DjimIT ondersteunt organisaties bij het industrialiseren van MCP: van MCP Security Assessment en capability registry tot Zero Trust MCP fabric. De vraag is niet óf je MCP gebruikt, de vraag is of je weet welke tools je agents écht aanroepen.
NSA: MCP is de nieuwe enterprise control plane - en hij is nog niet veilig
Dit artikel is exclusief beschikbaar voor nieuwsbrief-abonnees. Schrijf je in voor toegang tot 880+ artikelen.
Geen spam. Uitschrijven op elk moment.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.