Ny säkerhetsstandard för AI-agenter lovar ordning – och skapar nya kryphål

Från laboratorium till företagsinfrastruktur

När Anthropic lanserade Model Context Protocol – MCP under 2024 var det kanske inte alla som insåg hur snabbt protokollet skulle få genomslag. I dag är MCP i praktiken den gemensamma tungan som AI-agenter talar när de behöver prata med externa verktyg, databaser och affärssystem. Det är den typ av tyst infrastruktur som sällan hamnar i rubriker, men som avgör hur hela ekosystemet fungerar i grunden.

Den 28 juli 2026 träder version MCP 2026-07-28 i kraft, och organisationer får tolv månader på sig att migrera från äldre versioner. Det är en rejäl uppgradering, och den viktigaste förändringen är arkitektonisk till sin natur: protokollet blir tillståndslöst.

Vad tillståndslöshet faktiskt innebär

I den gamla modellen upprätthölls en permanent session mellan agent och system – ungefär som ett telefonsamtal som hålls öppet. I den nya modellen hanteras varje förfrågan fristående, utan att någon ihållande koppling behålls. Det liknar mer hur moderna webb-API:er fungerar, och det är just det som gör MCP skalbart för molnbaserade företagsmiljöer där tusentals agenter kan köra parallellt.

Fördelarna är tydliga: sessionskapning – där en angripare tar över en aktiv uppkoppling – elimineras som angreppssätt. Autentiseringsstandarderna skärps. Protokollet blir enklare att distribuera över geografiskt spridda system. Det är, kort sagt, en mognadsresa från prototyp till produktionsduglig infrastruktur.

Men ingenting är gratis

Här kommer den del som förtjänar mer uppmärksamhet än den hittills fått. Säkerhetsföretaget Akamai har analyserat det nya protokollet inför lanseringen och deras slutsats är nykter: "Protokollet tar bort flera typer av sårbarheter, men introducerar samtidigt nya områden där säkerheten är helt beroende av hur väl utvecklarna implementerar lösningen."

Det är en klassisk avvägning inom systemutveckling, men konsekvenserna är ovanligt allvarliga i det här fallet. Eftersom sessioner nu ersätts med spårningsidentifierare och tillståndsobjekt uppstår en ny angreppsyta: om dessa identifierare är förutsägbara – vilket de lätt blir om man inte aktivt motverkar det – kan en angripare kapa aktiva arbetsflöden, komma åt data som tillhör andra agenters körningar, eller utlösa obehöriga åtgärder.

Den nya versionen introducerar dessutom MCP-specifika HTTP-huvuden, vilket Akamai pekar ut som en risk för så kallade protokollförvirringsattacker. Dessa attacker utnyttjar att olika delar av ett system tolkar samma anrop på olika sätt, och kan leda till att känslig information – tänk API-nycklar och autentiseringsuppgifter – läcker ut längs vägen.

Varför detta är viktigare än det låter

MCP är inte ett verktyg för teknikentusiaster längre. Det är på väg att bli ryggraden i hur företag kopplar ihop sina AI-lösningar med sina affärssystem. När en AI-agent bokar ett möte, hämtar kunddata eller triggar en betalning – sker det med stor sannolikhet via MCP eller något liknande protokoll.

Det betyder att en felaktig implementation av det nya protokollet inte bara drabbar en enskild applikation. Det kan ge angripare tillgång till arbetsflöden som sträcker sig tvärs genom en hel organisation. Skadeverkningarna liknar mer ett intrång i ett mellanlagerssystem än en komprometterad enskild tjänst.

Som systemutvecklare känner jag igen mönstret väl: när infrastruktur skalas upp och standardiseras tenderar säkerhetsansvaret att diffunderas. Alla antar att någon annan har löst det. Den nya MCP-versionen är välkonstruerad i grunden – men den kräver att varje team som implementerar den faktiskt förstår vad tillståndslöshet innebär i praktiken, och aktivt säkrar sina identifierare och huvuden.

Tolvmånadersmigreringen är rimlig. Men organisationer bör inte vänta till sista månaden.