Connect with us

Cybersikkerhed

6 Bedste Praksis for Opbygning af en Sikker MCP-Server

mm
Published
Updated

Siden Anthropic udgav Model Context Protocol i slutningen af 2024, er adoptionen eksploderet, og mange virksomheder har lanceret deres egne MCP-servere for at hjælpe AI-agenter med at få adgang til deres data.

Dette er godt for at udvide AI’s muligheder, men det udsætter også disse virksomheder for betydelige sikkerhedsrisici.

Uden de rette foranstaltninger kan MCP-servere give blanketadgang til følsomme data i e-mails, CRM-systemer, filgemningsværktøjer og andre applikationer. Og selv når aggressive sikkerhedsforanstaltninger tages, kan maliciøse aktører bruge taktikker som prompt-injektionsangreb til at få adgang til godkendelsesoplysninger.

Vi ser allerede sikkerhedsincidenser ske. GitHub har for nylig oplevet en MCP-sårbarhed, der har eksponeret private lagringssteder.

Vi har lært gennem første-hånds-erfaring, hvad det kræver at opbygge en MCP-server, der kan modstå enhver sikkerhedsrisiko.

Med det formål har jeg følgende bedste råd for opbygning og administration af MCP-servere.

Sikre Sikkerhed med Hårde Blokeringer og Tilladelsesstyring

Den vigtigste sikkerhedsprincip for MCP’er er, at hårde blokeringer altid vil overtage styringen fra prompts og andre bløde kontroller givet til agenter. Mens AI-agenter har fleksibiliteten til at beslutte, hvornår de skal kalde værktøjer og hvilke input de skal sende, vil værktøjsimplementeringerne – eller en hardkodet lag foran dem – i sidste ende forhindre tilladelsesproblemer, så længe brugerens identitet er korrekt godkendt.

For at sikre sikkerhed skal udvidelser konfigureres med streng tilladelsesstyring fra starten.

Dette begynder med at styre de tilladelser, der er givet til API-nøglerne. Værktøjer giver en fordel her ved at indpakke statisk kode og oprette en kontrolleret grænseflade, der kan gennemtvinge sikkerheds politikker, uanset agentadfærd.

Behandle API-Nøgler som Adgangskoder

I stedet for at hårdkodning af nøgler, flyt alle legitimationsoplysninger ud af kode og konfigurationsfiler til miljøvariabler eller dedikeret hemmelighedsstyring, såsom HashiCorp Vault eller AWS Secrets Manager.

Midlertidige legitimationsoplysninger giver en ekstra sikkerhedslag for ekstremt følsomme data og brugstilfælde, hvor permanente forbindelser ikke er nødvendige. I dette tilfælde kan værktøjer som AWS STS generere kortlivede tokens, der udløber hurtigt, og minimere vinduet for mulig misbrug. Men for de fleste implementeringer kan korrekt OAuth med token-genindlæsning eller vel-sikret grundlæggende godkendelse effektivt løse disse bekymringer.

Nøglen er at implementere per-værktøj rollebaseret adgangskontrol (RBAC) med indbyggede tilladelsesstyringssystemer. Giv hver MCP-integration sin egen finmasket rolle, der er strengt begrænset til de nødvendige tilladelser. En Vault-policy, der kun tillader læseadgang til kv/data/GitHub, er uendeligt sikrere end en rodnøgle. Jeres cloud-udbyders native Identitet og Adgangsstyring (IAM)-systemer kan automatisk gennemtvinge mindst-privilegieadgangsmønstre.

Beskyt Følsomme Data med DLP og PII-Detektionssoftware

MCP-værktøjer kan få adgang til store mængder følsomme data på tværs af jeres organisation. Uden de rette kontroller kan de utilsigtet eksponere kundernes personlige oplysninger, finansielle optegnelser eller proprietær information om jeres produkt.

For at løse dette problem skal data-tab-forebyggelsessoftware (DLP) installeres, der kan inspicere MCP-trafik i realtid. Konfigurer DLP-regler til at registrere og blokere transmission af kreditkortnumre, sociale sikkerhedsnumre, API-nøgler og andre følsomme mønstre, før de forlader jeres miljø.

I skal også bruge værktøjer, der kan automatisk identificere og maskere personlige oplysninger i prompts, værktøjsrespons og revisionslogger. Og overvej at bruge løsninger, der kan registrere PII på tværs af forskellige formater, herunder strukturerede databasefelter, ustruktureret tekst og billedindhold gennem avancerede teknikker som OCR eller NLP.

Sikre og Administrer jeres Afhængigheder

MCP-økosystemets hurtige vækst har skabt en vilde vesten af potentielt upålidelige binærer. Fællesskabspublikerede servere kan være bagdørsåbne, dårligt vedligeholdt eller simpelthen forladt. Når I installerer afhængigheder uden verificering, løber I risikoen for at udføre muligvis skadelig kode.

Implementér streng afhængighedsstyring med integritetsverificering. Brug digitale signaturer og checksum til at sikre, at koden ikke er blevet manipuleret. Og følg sikkerhedsbedste praksis ved at genbruge beviste autorisationskontrolkode, skrive omfattende tests og udnytte automatiserede værktøjer, såsom statisk applikationssikkerhedstest (SAST), dynamisk applikationssikkerhedstest (DAST) og software-sammensætningsanalyse (SCA), for at identificere sårbarheder, før de kan udnyttes.

Test Hvert Værktøj Omhyggeligt

Direkte injektionsangreb indsætter skadelige kommandoer i jeres værktøjsanmodninger, men indirekte angreb er mere subtile og potentielt mere farlige. Angribere kan f.eks. indsætte skadelige instruktioner i værktøjsbeskrivelser eller metadata, der inkluderes i LLM-prompts.

Alle værktøjer skal gennemgå en omhyggelig godkendelsesproces, før de deployes, som kombinerer automatiseret test med gennemgang af sikkerhedseksperter. Implementér lagdelte forsvarforanstaltninger, herunder manuel verificering for kritiske operationer, tydelig adskillelse mellem systemprompts og brugerinput, og automatiserede detektionssystemer, der kan identificere potentielt skadelige instruktioner i både brugerprompts og værktøjsmetadata.

Overvåg Sikkerhedsincidenser Proaktivt

Ud over grundlæggende kontroller skal holdene udnytte en omfattende sikkerhedsværktøjskasse, herunder overvågning af værktøjsanmodninger, brugeraktivitetsmønstre og udgående URL-adgangsmønstre, for at registrere potentielle sikkerhedsincidenser, før de eskalerer.

Ved at installere automatiserede detektionssystemer kan I identificere usædvanlige mønstre i værktøjsbrug, uventede dataadgangsforsøg eller anomalt netværkstrafik, der kan indikere et kompromitteret system. Og ved at opretholde konsekvente logfiler til at overvåge en sprogmodels resonnering og output er afgørende for at spore enhver uventet handling.

At Udnytte MCP’er Til Det Fulde

MCP’ers kraft kommer fra dets evne til at omdanne AI-assistenter til fuldt programmerbare agenter. Men den samme kraft kræver lige så sofistikerede sikkerheds kontroller.

Løsningerne er ikke eksotiske; de er udvidelser af beprøvede sikkerhedspraksis, der anvendes på denne nye arkitektoniske mønster. Data-tab-forebyggelsessoftware, PII-redaktører og indbyggede tilladelsesstyringssystemer, som I sandsynligvis allerede bruger, kan tilpasses for at sikre MCP-servere.

De organisationer, der løser disse sårbarheder nu, vil låse MCP’ers fulde potentiale op på en sikker måde.

Related Topics:
mm

Gil Feig er medstifter og CTO i Merge, den førende unified API-platform. Tidligere var Gil chef for ingeniørarbejde i Untapped og arbejdede som softwareingeniør i Wealthfront og LinkedIn. Han er uddannet fra Columbia University og bor og arbejder i New York City.