Shadow MCP: مشكلة المؤسسة التي لم يخصص لها أحد الميزانية

يستخدم Shadow IT ليعني مدير التسويق الذي يقوم بنفقات Dropbox. يعني Shadow SaaS فريق المنتج قم بالتسجيل في Figma باستخدام بطاقة الائتمان الشخصية. تم تضمين كلاهما: تم تشغيل الأدوات في المتصفح علامة التبويب، ولمس البيانات التي يمكن للمستخدم رؤيتها بالفعل، ولا يمكنه الوصول إليها بعد حدود علامة التبويب. الظل MCP يكسر هذا الاحتواء. يقوم أحد الموظفين بتبديل خادم MCP المجتمعي إلى Cursor أو Claude سطح المكتب، والآن يمكن للوكيل قراءة مفاتيح SSH، وتشغيل أوامر shell، والتحدث إلى الإنتاج قواعد البيانات من خلال بيانات الاعتماد المحيطة للمستخدم.

قامت Cloudflare Gateway بشحن قواعد MCP المدركة في أبريل 2026. وتبعتها Zscaler وNetskope في غضون أسبوع. تم اكتشاف الأدوات لأن فرق أمان المؤسسة بدأت في طرح الأسئلة. يغطي هذا المنصب الأشياء الأربعة التي يجب القيام بها في هذا الربع: فهم نموذج التهديد، وبناء الكشف، وشحن النص البرمجي للمخزون، ووضع القائمة المسموح بها، ونشر سياسة من ثلاث صفحات.

لماذا يعتبر Shadow MCP أسوأ من Shadow SaaS

يتم تشغيل علامة تبويب SaaS المارقة في المتصفح في وضع الحماية. لا يمكنه قراءة مفتاح SSH الخاص بالمستخدم. ذلك لا يمكن أن تفرخ قذيفة. لا يمكنه فتح اتصال TCP بـ Postgres الإنتاجي الخاص بك. المتصفح تحمل سياسة نفس الأصل ووضع الحماية لنظام التشغيل الاحتواء.

يعمل خادم MCP خارج المتصفح. كلود سطح المكتب والمؤشر يفرخان خوادم stdio كطفل العمليات على جهاز المستخدم مع أذونات المستخدم. يتصل خادم HTTP MCP بـ مهما كانت بيانات الاعتماد التي يلصقها المستخدم. يقوم الوكيل بعد ذلك باستدعاء الأدوات من ذلك الخادم كجزء من حلقتها العادية. من وجهة نظر نظام التشغيل، استدعاء الأداة هو قيام المستخدم بفتح ملف ملف أو تشغيل أمر.

فرق ملموس: تم سحب خادم GitHub MCP المجتمعي من حزمة npm عشوائية وإضافته إلى ~/.cursor/mcp.json يمكن أن تسلل أي شيء في ~/.ssh/، كل .env الملف الموجود ضمن الدليل الرئيسي الخاص بك، والمحتويات الكاملة لأي ريبو للمستخدم تم تسجيل الخروج. وافق المستخدم عليه مرة واحدة. الوكيل لا يسأل مرة أخرى. محتال يعتمد على المتصفح لا يمكن للأداة أن تفعل أيًا من ذلك.

أضف مشكلة أخرى: شبكة VPN الخاصة بالمستخدم. إذا كان الكمبيوتر المحمول موجودًا على شبكة VPN الخاصة بالشركة عند تشغيل الوكيل، يرث خادم MCP موضع الشبكة هذا. الخدمات الداخلية وقواعد البيانات المرحلية و تصبح جميع نقاط نهاية البيانات التعريفية قابلة للوصول. لم يكن الخادم بحاجة إلى التصيد الاحتيالي لأي شخص. لقد انتظرت للتو لشبكة VPN للاتصال.

العثور على Shadow MCP على شبكتك

يعمل الاكتشاف على ثلاث طبقات: نقطة النهاية، وبوابة الخروج، وDNS. تريد إشارة من الثلاثة لأن كل واحد منهم يمسك بوضع فشل مختلف.

في نقطة النهاية، راقب العمليات الفرعية التي يولدها Claude Desktop أو Cursor. كلا العملاء استدعاء خوادم stdio كعمليات فرعية بأسماء العمليات الأصلية المعروفة. EDR الخاص بك (CrowdStrike، يمكن لـ SentinelOne، Defender for Endpoint) التنبيه بشأن أي شجرة عمليات متجذرة فيها Claude.app, Cursor.app، أو claude-code. تصفية إلى تلك التي وافقت عليها؛ ضع علامة على كل شيء آخر.

عند الخروج، قم بتصفية حركة مرور HTTP. يشحن MCP عبر HTTP القابل للتدفق رأسًا مميزًا (mcp-protocol-version) ونوع محتوى مميز (application/json-rpc-2). تتطابق كل من Cloudflare Gateway وZscaler وNetskope على حد سواء. إليك قاعدة Cloudflare Zero Trust لحظر MCP غير المصرح به مع السماح بـ المضيفون المعتمدون:

في DNS، يرى المحلل الخاص بك عمليات البحث عن مضيفي خادم MCP المجتمعي قبل أي اتصال HTTPS يفتح. أدخل القائمة المسموح بها في مرشح نظام أسماء النطاقات (Cisco Umbrella وNextDNS وCloudflare Gateway DNS) باعتبارها وجهات MCP الوحيدة المسموح بها. كل عملية بحث أخرى تتطابق مع ملف معروف يحصل موجز تسجيل MCP على حظر وتذكرة.

بالنسبة لخوادم stdio المثبتة على npm، يستطيع وكيل DLP لنقطة النهاية مراقبة مطابقة الحزم *-mcp-*, @modelcontextprotocol/*، أو أي حزمة تعلن mcp الدخول فيها package.json bin مجال. أن يمسك حدث التثبيت قبل أن يقوم المستخدم بتوصيل الخادم إلى المؤشر.

قم ببناء مخزون MCP في فترة ما بعد الظهر

يخبرك الاكتشاف عندما يظهر خادم جديد. يخبرك المخزون بما تم تثبيته بالفعل. قم بإرسال برنامج نصي، وتشغيله من خلال MDM (Jamf، وIntune، وKandji)، وإرسال النتائج إلى التقارير نقطة النهاية. بعد ظهر العمل، ستعرف أي الأجهزة لديها أي خوادم.

يقرأ البرنامج النصي ملفي التكوين اللذين يستخدمهما كل عميل رئيسي. يحتفظ Claude Desktop بتكوينه في ~/Library/Application Support/Claude/claude_desktop_config.json على نظام التشغيل MacOS و %APPDATA%\Claude/claude_desktop_config.json على ويندوز. يحتفظ المؤشر بتكوينه عند ~/.cursor/mcp.json. كلا الملفين عبارة عن JSON عادي مع ملف mcpServers أسماء خوادم تعيين الكائنات للأوامر والوسائط وعناوين URL وenv vars.

التجزئة مهمة. تتغير ملفات التكوين عندما يقوم المستخدم بإضافة خادم، أو تدوير مفتاح، أو سحب ملف قالب الفريق. قم بتخزين SHA-256 للملف بأكمله ونبه إلى أي تغيير لم تقم بإجراءه. ال يتم إدراج أسماء env var (وليس القيم) في التقرير أيضًا؛ رؤية GITHUB_PERSONAL_ACCESS_TOKEN المدرجة ضمن خادم المجتمع هي الإشارة الخاصة بها.

قم بتشغيل البرنامج النصي يوميًا. قم بتغذية المخرجات في مخزون الأصول الموجود لديك (Snipe-IT، ServiceNow، أو جدول Postgres). أنشئ لوحة تحكم تعرض: خوادم جديدة هذا الأسبوع، وخوادم على أكثر من الأجهزة N والخوادم التي تم تغيير تجزئة تكوينها. تغطي هذه المشاهدات الثلاثة معظم ما تريده بحاجة إلى أن نسأل في وقت لاحق.

قم بإدراج الخوادم التي تثق بها في القائمة المسموح بها

يظهر لك المخزون ما تم تثبيته. توضح القائمة المسموح بها ما هو مسموح به. الرفض الافتراضي، كل تمت مراجعة الخادم، وتنتهي كل موافقة. قم بإصدار الملف في Git بحيث يكون سجل الموافقة قابل للتدقيق.

هناك ثلاثة أشياء تجعل هذه القائمة المسموح بها مفيدة. أولاً، كل إدخال له تذكرة مراجعة وانتهاء الصلاحية؛ الموافقات لا تعيش إلى الأبد. ثانيًا، تشتمل خوادم stdio على الوسائط المسموح بها، لذلك أ postgres-mcp تمت الموافقة على الثنائي مع --readonly لا يمكن إعادة تشغيلها مع حق الوصول للكتابة دون مراجعة جديدة. ثالثًا، النطاقات مسماة وصريحة؛ طبقة تحكم لاحقة يمكن أن يفرضها.

يتطلب ضم خادم جديد إلى القائمة المسموح بها عمليتي فحص تلقائيتين قبل المراجعة البشرية. أولاً، تحقق من وضع TLS لمضيف الخادم. خادم يخدم MCP عبر نص عادي HTTP، أو بشهادة تنتهي صلاحيتها خلال 10 أيام، أو مفقود HSTS، ليس مرشحًا:

ثانياً، افحص رؤوس الاستجابة. تريد HSTS بعمر أقصى طويل ومعقول content-type، و mcp-protocol-version رأس يطابق ما يقول الخادم أنه يدعم في بيانه. الانجراف بين الرأس والبيان هو علامة حمراء:

قم بإجراء كلا الفحصين كجزء من تذكرة الدخول. إذا فشل أي منهما، فسيتم إغلاق التذكرة تلقائيًا باستخدام ملف سبب الفشل. يرى المراجع فقط الخوادم التي اجتازت الأساسيات.

سياسة MCP المكونة من ثلاث صفحات والتي تحتاجها كل شركة

لا يجب أن تكون السياسة طويلة. يجب الإجابة على خمسة أسئلة: ما الذي تمت الموافقة عليه، ومن يوافق على الخوادم الجديدة، وما الذي يمكن أن يفعله كل دور، وكيف تراقبه، وماذا يحدث عندما حدث خطأ ما. يؤدي الجدول القصير عملاً أكثر من مستند مكون من 30 صفحة لا يقرأه أحد.

الوجبات السريعة الرئيسية

• تتجاوز قدرات MCP قدرات SaaS. يقرأ خادم MCP المجتمعي SSH المفاتيح، وتشغيل أوامر shell، ويرث موقع VPN الخاص بك. التعامل معها وكأنها متميزة التكامل، وليس مثل علامة تبويب المتصفح.
• يحتاج الكشف إلى ثلاث طبقات. قواعد عملية EDR، ومرشحات HTTP للبوابة قيد التشغيل mcp-protocol-versionوتغطي القائمة المسموح بها لنظام أسماء النطاقات أوضاع فشل مختلفة.
• الجرد في فترة ما بعد الظهر. يقرأ برنامج Python المكون من 60 سطرًا التكوينين الملفات التي يستخدمها كل عميل رئيسي، ويقوم بتجزئتها ونشرها إلى نقطة نهاية إعداد التقارير. تشغيله يوميا عبر MDM.
• القائمة المسموح بها للرفض الافتراضي، فترات انتهاء الصلاحية القصيرة. كل خادم لديه تذكرة مراجعة و انتهاء ستة أشهر. يستخدم /v1/ssl/check و /v1/headers/inspect كما بوابات السحب الأوتوماتيكية.
• يتفوق الجدول على سياسة مكونة من 30 صفحة. الخوادم المعتمدة، عملية المراجعة، النطاق الحدود، المراقبة، الاستجابة للحوادث، الاستثناءات، الخروج من الخدمة. سبعة صفوف، صفحة واحدة، منشورة في ويكي الهندسة.

خادم MCP الخاص بـ Botoi على api.botoi.com/mcp مثال على كيفية ظهور الخادم بمجرد أن تصبح جاهزة للقائمة المسموح بها: TLS 1.3، وHSTS، ومفاتيح API المحددة النطاق، وحدود معدل كل مفتاح، و49 أدوات منسقة مع التعليقات التوضيحية. يمكنك التحقق من الوضعية بنفسك من خلال التجعيدتين أعلاه قبل إضافتها، أو التحقق من صفحة إعداد MCP و مستندات API للحصول على قائمة الأدوات الكاملة.