Gil Feig, Co-Founder and CTO of Merge

建立安全的MCP服务器的6个最佳实践

自从Anthropic在2024年末发布了模型上下文协议以来，采用率激增，许多公司推出了自己的MCP服务器，以帮助AI代理访问他们的数据。虽然这对扩展AI的能力有益，但也使这些公司面临着重大的安全漏洞。如果没有采取适当的预防措施，MCP服务器可能会给敏感数据提供完全访问权限，包括电子邮件、CRM、文件存储工具和其他应用程序。即使采取了激进的安全措施，恶意actors也可以使用诸如提示注入攻击等策略来获取身份验证凭据。我们已经开始看到安全事件的发生。例如，GitHub最近经历了一个MCP漏洞，暴露了私有仓库。通过亲身经历，我们了解到构建一个能够抵御任何安全威胁的MCP服务器需要什么。为此，以下是我关于构建和管理MCP服务器的顶级提示。使用硬块和权限管理确保安全MCP的最关键的安全原则是，硬块将始终覆盖代理给出的提示和其他软控制。虽然AI代理具有决定何时调用工具和发送什么输入的灵活性，但工具实现或工具前面的硬编码层最终可以防止权限问题，只要用户的身份正确验证。为了确保安全，请从一开始配置具有严格权限管理的扩展。这从管理授予API密钥的权限开始。工具在这里提供了优势，通过包装静态代码并创建受控接口，可以强制执行安全策略，无论代理的行为如何。将API密钥视为密码不要硬编码密钥，而是将所有凭据从代码和配置文件中移到环境变量或专用的密钥管理器中，例如HashiCorp Vault或AWS Secrets Manager。临时凭据为极其敏感的数据和不需要永久连接的用例提供了额外的安全层。在这种情况下，像AWS STS这样的工具可以生成短期令牌，快速过期，最大限度地减少潜在的滥用窗口。然而，对于大多数实现，适当的OAuth与令牌刷新或安全的基本身份验证可以有效地解决这些问题。关键是实施每个工具的基于角色的访问控制（RBAC），具有内置的权限管理系统。为每个MCP集成分配自己的细粒度角色，严格限定在所需的权限范围内。仅允许读取访问kv/data/GitHub的Vault策略比根令牌安全得多。云提供商的本机身份和访问管理（IAM）系统可以自动强制执行最小权限访问模式。使用DLP和PII检测软件保护敏感数据MCP工具可以访问组织内大量的敏感数据。没有适当的控制，它们可能会无意中暴露客户的PII、财务记录或产品的专有信息。为解决这个问题，部署能够实时检查MCP流量的数据丢失防护（DLP）软件。配置DLP规则以检测和阻止信用卡号、社会安全号、API密钥和其他敏感模式的传输，在它们离开环境之前。您还应使用可以自动识别和屏蔽提示、工具响应和审计日志中个人信息的工具。并考虑使用可以跨各种格式检测PII的解决方案，包括结构化数据库字段、非结构化文本和图像内容，通过高级技术如OCR或NLP。保护和管理依赖项MCP生态系统的快速增长创造了一个可能不受信任的二进制文件的狂野西部。社区发布的服务器可能存在后门、维护不善或被遗弃。当您在没有验证的情况下安装依赖项时，您将冒着执行恶意代码的风险。实施严格的依赖管理，具有完整性验证。使用数字签名和校验和确保代码没有被篡改。并遵循安全最佳实践，通过重用经过验证的授权检查代码、编写全面的测试和利用自动化工具，如静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）和软件合成分析（SCA），来识别漏洞，在它们被利用之前。彻底测试每个工具直接注入攻击将恶意命令插入工具调用提示，但间接攻击更为微妙，可能更危险。攻击者可以将恶意指令嵌入工具描述或元数据中，这些元数据被包含在LLM提示中。所有工具都应经过彻底的审批流程，然后再部署，结合自动化测试和安全专业人员的审查。实施分层防御措施，包括手动验证关键操作、系统提示和用户输入之间的明确分离以及自动检测系统，可以检测用户提示和工具元数据中的潜在恶意指令。主动监测安全事件除了基础控制之外，团队应利用综合安全工具包，包括监测工具调用、用户活动模式和出站URL访问模式，以检测潜在的安全事件，在它们升级之前。通过部署自动检测系统，您可以识别工具使用中的异常模式、意外的数据访问尝试或可能指示系统已被攻破的异常网络流量。此外，保持一致的日志以监控语言模型的推理和输出对于跟踪任何意外操作至关重要。充分利用MCPMCP的力量来自其将AI助手转化为完全可编程的代理的能力。但同样的力量也需要同样复杂的安全控制。解决方案并非异国情调；它们是应用于这种新架构模式的经过验证的安全实践。您可能已经在使用的数据丢失防护软件、PII编辑器和内置权限管理系统可以被改造以保护MCP服务器。现在解决这些漏洞的组织将能够安全地解锁MCP的全部潜力。