Il SANS ISC individua scansioni sistematiche di server MCP e credenziali AI su host web
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
News

Il SANS ISC individua scansioni sistematiche di server MCP e credenziali AI su host web

[2026-07-14] Author: Meteora Web Redazione
> condividi
Zenithby Meteora Web Il sistema operativo della tua attività. Social, clienti, prenotazioni e fatture in un'unica piattaforma. Palestre, barber, professionisti. Scopri Zenith Demo gratis · senza carta

Un server web apparentemente insignificante, che ospita un sito WordPress, qualche backend personalizzato e una pagina statica, ha rivelato un fenomeno di scansione finora sconosciuto. Manuel Humberto Santander Peláez, handler del SANS Internet Storm Center, ha analizzato due settimane di log Apache e ModSecurity di questo host, con l'obiettivo di campionare il rumore di fondo delle scansioni Internet nel 2026. Il risultato ha superato le aspettative: insieme al traffico ordinario, come attacchi xmlrpc e tentativi di accesso a file .env e git config, sono emerse richieste mirate a infrastrutture per agenti AI, nonostante l'host non ne ospitasse nessuna.

Scanner che parlano il protocollo MCP

L'elemento più sorprendente è il traffico POST verso il percorso /mcp. Ogni sonda non si limitava a richiedere un URL e controllare il codice di stato, ma inviava un corpo JSON-RPC 2.0 valido, eseguendo una chiamata initialize del protocollo Model Context Protocol (MCP) con una versione reale. Lo scanner completava l'handshake e attendeva una risposta, come se cercasse un vero server MCP. Secondo il report, questa categoria proveniva da 49 indirizzi IP distinti, più diffusi di qualsiasi altra minaccia nel dataset. Non si tratta di un singolo ricercatore: è una scansione distribuita su larga scala.

Sponsored Protocol

Il pericolo è concreto. Un server MCP esposto senza autenticazione permette a un attaccante di interagire con gli strumenti e le fonti dati collegati all'agente AI: database, file system, sistemi di ticketing, API interne. Completare l'handshake significa ottenere un inventario leggibile a macchina di tutto ciò che l'agente può fare. Per comprendere l'evoluzione degli assistenti AI, si può confrontare questa nuova frontiera con le origini dei chatbot, come racconta l'articolo sul codice sorgente di ELIZA riemerso dal MIT.

Pesca di credenziali degli assistenti AI

Oltre agli handshake, gli scanner hanno cercato file di configurazione e credenziali che gli assistenti di coding AI scrivono nelle directory di progetto e home, tra cui .claude/mcp.json, .cursor/mcp.json, .vscode/mcp.json, .claude/settings.local.json e .claude/.credentials.json. Quando gli sviluppatori pubblicano accidentalmente questi file nella root web, le credenziali API diventano pubbliche. Due dettagli suggeriscono tooling maturo: i percorsi riflettono una conoscenza aggiornata delle configurazioni, e i file di credenziali sono stati verificati con richieste HEAD, che restituiscono solo gli header senza il corpo. Questo approccio di verifica dell'esistenza è ottimizzato per scansionare un gran numero di host, non per curiosità isolata. I percorsi degli assistenti AI erano nello stesso wordlist di file di credenziali cloud generici per AWS, GCP, Azure e Kubernetes, segno che gli autori dei tool considerano ormai i segreti degli assistenti come un'altra risorsa da rubare.

Sponsored Protocol

Endpoint LLM esposti e SSRF

Un terzo filone ha sondato endpoint LLM non autenticati: /v1/models (percorso di elenco modelli compatibile con OpenAI) e /api/tags (endpoint Ollama che elenca i modelli installati). Ollama è spesso esposto accidentalmente nonostante sia configurato per ascoltare solo su localhost. Un'istanza aperta offre a un attaccante potenza di calcolo gratuita e un potenziale punto di pivot. Insieme a queste, sono state rilevate sonde classiche ma naturalmente abbinate ai tool AI: tentativi di SSRF contro il servizio metadata di GCP, con nomi di parametri ruotati come url, uri, path e dest, per individuare endpoint fetch-style che seguono link forniti dall'esterno. I tool AI e LLM sono pieni di questi helper.

Sponsored Protocol

Perché la scoperta è importante

Nessuna delle infrastrutture target esisteva su questo host, e questo è il punto cruciale. Gli scanner hanno aggiunto server MCP, credenziali degli assistenti e LLM locali alle loro liste di target standard prima che queste tecnologie diventino comuni. Le organizzazioni che adottano agenti AI aumentano la propria superficie d'attacco, e chi scansiona Internet lo sa già. Come evidenziato da recenti tendenze, il sorpasso dei modelli aperti cinesi su Hugging Face dimostra quanto rapidamente l'ecosistema AI si stia evolvendo.

Sponsored Protocol

Cosa fare per proteggersi

Il report SANS offre indicazioni pratiche. Controllare i log di accesso per richieste POST /mcp e /sse: su un host senza server MCP, qualsiasi hit è pura ricognizione e un utile indicatore da bloccare. Verificare che i file .claude/, .cursor/ e .vscode/mcp.json non siano raggiungibili nelle root web. Testare esternamente i propri host su /v1/models e /api/tags. Assicurarsi che gli endpoint fetch-style blocchino gli indirizzi 169.254.169.254 e metadata.google.internal e imporre IMDSv2 su AWS e header-enforced metadata su GCP. Per approfondimenti tecnici, si può consultare il diario originale del SANS Internet Storm Center.

Fonte: https://www.internationalcyberdigest.com/scanners-are-hunting-mcp-servers-and-ai-assistant-credentials

> condividi
Meteora Web Redazione

> AUTHOR_EXTRACTED

Meteora Web Redazione

La redazione di Meteora Web Agency: ingegneri informatici e professionisti del digitale che pubblicano ogni giorno news e approfondimenti su tecnologia, software, marketing e innovazione.
[ Read Full Dossier ]

> METEORA_WEB // WEB AGENCY

Costruiamo la presenza digitale che la tua azienda merita.

Siti web, social, pubblicità online, e-commerce e hosting performante: ingegnerizzati con metodo da ingegneri informatici a Sciacca, per tutta Italia.

> MW_JOURNAL

> READ_ALL()