关注我们.

网络安全

构建安全 MCP 服务器的 6 个最佳实践

mm
发布时间

自从 Anthropic 发布 模型上下文协议 到 2024 年底,采用率将大幅增长,许多公司将推出自己的 MCP 服务器来帮助 AI 代理访问其数据。 

虽然这有利于拓展人工智能的能力,但也使这些公司面临重大的安全漏洞。

如果没有采取适当的预防措施,MCP 服务器可能会泄露电子邮件、CRM、文件存储工具和其他应用程序中敏感数据的访问权限。即使采取了严格的安全措施,恶意攻击者仍可能使用诸如快速注入攻击之类的策略来获取身份验证凭据。 

我们已经开始看到安全事件的发生。例如,GitHub 最近经历了一次 MCP 漏洞 暴露私人存储库。

我们通过亲身经历了解了构建能够抵御任何安全威胁的 MCP 服务器需要什么。

为此,以下是我构建和管理 MCP 服务器的最佳技巧。

通过硬块和权限管理确保安全

对于 MCP 来说,最关键的安全原则是硬阻止始终会覆盖赋予代理的提示和其他软控制。虽然 AI 代理可以灵活地决定何时调用工具以及发送哪些输入,但只要用户身份得到正确验证,工具实现(或其前面的硬编码层)最终就能避免权限问题。

为了确保安全,请从一开始就配置具有严格权限管理的扩展。

首先要管理授予 API 密钥的权限。工具的优势在于,它可以包装静态代码,并创建一个可控制的接口,无论代理行为如何,都能强制执行安全策略。

将 API 密钥视为密码

不要对密钥进行硬编码,而是将所有凭证从代码和配置文件中移出到环境变量或专用机密管理器中,例如 HashiCorp Vault 或 AWS Secrets Manager。 

临时凭证为极其敏感的数据以及无需永久连接的用例提供了额外的安全保障。在这种情况下,像 AWS STS 这样的工具可以生成快速过期的短期令牌,从而最大限度地减少潜在的滥用机会。然而,对于大多数实现而言,具有令牌刷新功能的 OAuth 或安全性高的基本身份验证可以有效解决这些问题。

关键在于通过内置权限管理系统,为每个工具实现基于角色的访问控制 (RBAC)。为每个 MCP 集成赋予其专属的细粒度角色,并严格限定所需权限。Vault 策略仅允许读取 kv/data/GitHub 权限,这比根令牌安全得多。云提供商的原生身份和访问管理 (IAM) 系统可以自动强制执行最低权限访问模式。

使用 DLP 和 PII 检测软件保护敏感数据

MCP 工具可以访问您组织内的大量敏感数据。如果没有适当的控制,它们可能会无意中泄露客户的 PII、财务记录或您产品的专有信息。

为了解决此问题,请部署能够实时检查 MCP 流量的数据丢失防护 (DLP) 软件。配置 DLP 规则,以检测并阻止信用卡号、社保号、API 密钥和其他敏感模式的传输,防止其离开您的环境。

您还应该使用能够自动识别和屏蔽提示、工具响应和审计日志中个人信息的工具。并考虑使用能够通过 OCR 或 NLP 等高级技术检测各种格式(包括结构化数据库字段、非结构化文本和图像内容)的 PI​​I 解决方案。 

保护和管理您的依赖项

MCP 生态系统的快速发展带来了大量潜在不可信二进制文件。社区发布的服务器可能存在后门、维护不善,甚至可能被废弃。如果您在未经验证的情况下安装依赖项,则可能会面临执行恶意代码的风险。

通过完整性验证实施严格的依赖关系管理。使用数字签名和校验和来确保代码未被篡改。遵循安全最佳实践,复用经过验证的授权检查代码,编写全面的测试,并利用自动化工具(例如静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST) 和软件组合分析 (SCA))来识别漏洞,防止其被利用。

严格测试每个工具

直接注入攻击会在工具调用提示中插入恶意命令,但间接攻击则更为隐蔽,潜在危险性也更高。例如,攻击者可以将恶意指令嵌入到工具描述或 LLM 提示中包含的元数据中。

所有工具在部署前都应经过严格的审批流程,该流程结合了自动化测试和安全专业人员的审核。实施分层防御措施,包括关键操作的手动验证、系统提示和用户输入的明确区分,以及能够识别用户提示和工具元数据中潜在恶意指令的自动检测系统。

主动监控安全事件

除了基础控制之外,团队还应利用全面的安全工具包,包括监控工具调用、用户活动模式和传出 URL 访问模式,以便在潜在的安全事件升级之前检测到它们。

通过部署自动检测系统,您可以识别工具使用中的异常模式、意外的数据访问尝试或异常的网络流量,这些都可能表明系统已遭入侵。此外,维护一致的日志以监控语言模型的推理和输出对于追踪任何意外操作至关重要。

充分利用 MCP

MCP 的强大之处在于它能够将 AI 助手转变为完全可编程的代理。但同样的强大功能也需要同样复杂的安全控制。

这些解决方案并非异想天开,而是将成熟的安全实践扩展到这种新的架构模式。您可能已经在使用的数据丢失防护软件、PII 编辑器以及内置权限管理系统,都可以适用于安全的 MCP 服务器。 

现在解决这些漏洞的组织将安全地释放 MCP 的全部潜力。

相关话题:
mm

Gil Feig 是 合并领先的统一 API 平台。此前,Gil 曾担任 Untapped 的工程主管,并在 Wealthfront 和领英担任软件工程师。他毕业于哥伦比亚大学,现居住和工作于纽约市。