AI-agenter får hender
Model Context Protocol (MCP) blir raskt standarden for hvordan AI-agenter samhandler med den virkelige verden. Databasespørringer, filtilgang, API-kall, shell-kommandoer — MCP-servere gjør språkmodeller til agenter som gjør ting.
Det er kraftig. Det er også farlig hvis du hopper over det grunnleggende.
Hva kan gå galt?
En MCP-server er i bunn og grunn en bro mellom en AI-modell og infrastrukturen din. Hvis den broen ikke er sikret:
- Ubegrenset verktøyomfang — Et verktøy som kan kjøre vilkårlige shell-kommandoer er én prompt injection unna katastrofe
- Manglende autentisering — HTTP/SSE-transport uten auth lar hvem som helst påkalle verktøyene dine
- Ingen input-validering — Utypede eller ubegrensede parametere åpner døren for injeksjonsangrep
- Ren HTTP — Ukryptert transport eksponerer verktøykall og svar under overføring
- Ingen hastighetsbegrensning — En enkelt feilkonfigurert agent kan oversvømme serveren din
- Bred ressurstilgang — Verktøy med ubegrenset filsystem- eller databasetilgang bryter prinsippet om minste privilegium
De 6 MCP-sikkerhetssjekker
Vi bygde disse sjekkene inn i AgentProof etter å ha gjennomgått dusinvis av ekte MCP-serverkonfigurasjoner. Hver sjekk peker på et konkret, fikserbart problem.
1. Verktøyomfang-revisjon (Kritisk)
Flagg verktøy med farlige evner: exec, shell, sql, file_write. Disse er ikke iboende dårlige, men de trenger eksplisitt begrunnelse og sandkassing.
Fiks: Pakk farlige verktøy med tillatelseslister. I stedet for exec(command), bruk exec_allowed(command, allowlist).
2. Autentisering påkrevd (Kritisk)
Enhver MCP-server som bruker HTTP- eller SSE-transport må kreve autentisering. Stdio-transport (kun lokal) får unntak.
Fiks: Legg til bearer token-validering, API-nøkkelsjekker eller OAuth-mellomvare i transportlaget.
3. Input-validering (Høy)
Hver verktøyparameter bør ha et typet skjema med begrensninger. Strengparametere trenger maks lengde. Numeriske parametere trenger intervaller. Enums bør brukes der det er mulig.
Fiks: Definer inputSchema med JSON Schema for hvert verktøy. Bruk maxLength, minimum, maximum og enum-begrensninger.
4. Transportsikkerhet (Høy)
Alle eksterne MCP-tilkoblinger må bruke HTTPS. Ingen unntak.
Fiks: Håndhev TLS på serveren din. Avvis rene HTTP-tilkoblinger.
5. Hastighetsbegrensning (Medium)
Uten hastighetsbegrensninger kan en enkelt løpsk agent tømme serverressursene dine eller pådra seg store API-kostnader.
Fiks: Legg til per-klient hastighetsbegrensning i transportlaget. Returner 429-svar med Retry-After-headere.
6. Ressurstilgangsomfang (Medium)
Verktøy som aksesserer filsystemet eller databasen bør begrenses til spesifikke stier eller tabeller. Brede tilgangsmønstre som / eller SELECT er røde flagg.
Fiks: Konfigurer ressursgrenser. Bruk stiprefikser for filsystemverktøy og tabelltillatelseslister for databaseverktøy.
Sjekk MCP-serveren din
AgentProof skanner MCP-serverkonfigurasjonen din og kjører alle 6 sjekker automatisk. Du får en score, en karakter og spesifikke anbefalinger for hvert problem som finnes.
Skanningen er deterministisk — samme konfigurasjon gir alltid samme resultat. Ingen AI-gjetning.
Skann MCP-konfigurasjonen din med AgentProof →
Utover konfigurasjon
Konfigurasjonssjekker fanger de vanligste problemene, men sikkerhet er lagdelt. Vurder også:
- Logging og overvåking — Vit hva verktøyene dine blir bedt om å gjøre
- Sandkassing — Kjør farlige verktøy i containere eller VM-er
- Menneske-i-løkken — Krev godkjenning for operasjoner med stor innvirkning
- Regelmessig re-skanning — Konfigurasjoner endrer seg. Skann ved hver deployment.
Konklusjon
MCP-servere er kraftig infrastruktur. Behandle dem som enhver annen API-overflate: autentiser, valider, krypter, hastighetsbegrens og avgrens tilgang. De 6 sjekkene over fanger de vanligste sikkerhetshullene vi ser i ekte deployments.
Ikke ship en MCP-server uten å sjekke det grunnleggende først.