Was ist das MCP-Sicherheitsinformationsblatt der NSA?

Es handelt sich um ein 17-seitiges Informationsblatt zur Cybersicherheit des NSA Artificial Intelligence Security Center, „Model Context Protocol (MCP): Überlegungen zum Sicherheitsdesign für KI-gesteuerte Automatisierung“, veröffentlicht im Mai 2026 unter der Kennung U/OO/6030316-26 (PP-26-1834), Version 1.0. Es identifiziert Serialisierungsrisiken, Vertrauensgrenzen und Agentenmissbrauch als Kernprobleme und nennt sechs Abhilfemaßnahmen: Filterung ausgehender Proxys, Verhinderung von Datenverlust, Sandboxing, Nachrichtenintegrität, Ausgabefilterung und lokale MCP-Scans.

Warum benötigt MCP eine eigene Sicherheitsrichtlinie?

MCP bringt Risiken mit sich, die bei der klassischen API-Sicherheit übersehen werden: dynamischer Tool-Aufruf, implizites Vertrauen zwischen einem Agenten und den von ihm aufgerufenen Servern sowie von Tools gemeinsam genutzter Kontext. Bei einem Werkzeugergebnis handelt es sich nicht um passive Daten; das Modell wirkt darauf. Das bedeutet, dass eine verfälschte Tool-Ausgabe den Agenten steuern kann und eine fehlgeleitete Anfrage eine Vertrauensgrenze überschreiten kann, wie dies bei einem normalen API-Aufruf niemals der Fall wäre.

Welche NSA-Empfehlung ist für ein kleines Team am wichtigsten?

Ausgabefilterung. Das Blatt weist darauf hin, dass Werkzeugergebnisse direkt in das Modell einfließen und dessen nächste Aktion beeinflussen. Durch das Scannen aller Tool-Ausgaben auf Geheimnisse und PII, bevor sie das Modell erreichen, wird die Lücke mit dem höchsten Datenverkehr mit dem geringsten Code geschlossen. Ein einzelner Erkennungsaufruf auf dem Ausgabepfad erkennt durchgesickerte Anmeldeinformationen und eingefügte Anweisungen, bevor der Agent sie jemals sieht.

Verlangsamen diese Überprüfungen den Agenten?

Bei jeder Prüfung handelt es sich um einen einzelnen HTTP-Aufruf von weniger als 200 ms, den Sie auf dem Anforderungs- oder Antwortpfad platzieren. Führen Sie sie nach Möglichkeit parallel zum Tool-Aufruf aus und schlagen Sie auf den Pfaden mit hohem Risiko (Ausgabefilterung, Nachrichtenintegrität) geschlossen und auf den empfohlenen Pfaden (Proxy-Reputation) offen. Die zusätzliche Latenzzeit beträgt nur einen Bruchteil des Modell-Roundtrips, für den Sie bereits bezahlen.

Ersetzt dies das Sandboxing des Agenten?

Nein. Sandboxing ist eine der sechs Abhilfemaßnahmen und die API-Prüfungen hier decken die anderen fünf ab. Führen Sie den Agenten in einer Sandbox ohne Umgebungs-Cloud-Anmeldeinformationen aus und fügen Sie dann Ausgabefilterung, Nachrichtenintegrität, ausgehende Proxy-Reputation und lokale Server-Scans hinzu. Tiefenverteidigung: Die Sandbox begrenzt den Explosionsradius, die API-Prüfungen erfassen, was die Grenze überschreitet.

Guide

Die NSA hat einen MCP-Sicherheitsleitfaden veröffentlicht: 6 Überprüfungen für Ihren Server

3. Juni 2026 | 8 min read

Das NSA AI Security Center hat im Mai 2026 ein 17-seitiges MCP-Sicherheitsinformationsblatt verschickt. Ordnen Sie die sechs Abhilfemaßnahmen, einschließlich Ausgabefilterung und Nachrichtenintegrität, konkreten API-Prüfungen zu, die Sie diese Woche versenden können.

Security shield representing NSA MCP security design considerations — Photo by FLY:D on Unsplash

Im Mai 2026 veröffentlichte das Artificial Intelligence Security Center der NSA einen 17-seitigen Cybersecurity-Bericht Informationsblatt zur Sicherheit des Model Context Protocol (Kennung U/OO/6030316-26, Version 1.0). Die Kurzfassung: Auf MCP basierende Agentensysteme bergen Risiken, die die normale API-Sicherheit übersieht. und das Blatt nennt sechs Abhilfemaßnahmen, um sie zu schließen.

Das schwierige Problem ist Vertrauen. Bei einem Toolergebnis handelt es sich nicht um passive Daten, wie es bei einer Datenbankzeile der Fall ist. das Modell liest es und handelt danach. Eine vergiftete Ausgabe kann den Agenten steuern und eine fehlgeleitete Anfrage kann ihn überqueren eine Vertrauensgrenze, die ein normaler API-Aufruf niemals berührt. Die sechs Abhilfemaßnahmen des Blattes sind gefiltert ausgehende Proxys, Verhinderung von Datenverlust, Sandboxing, Nachrichtenintegrität, Ausgabefilterung und lokale MCP-Scans. Hier erfahren Sie, wie Sie fünf davon in API-Prüfungen umwandeln, die Sie diese Woche einbinden können. Die Sechstens, Sandboxing, ist eine Infrastruktur, die Sie um den Rest herum betreiben.

1. Ausgabefilterung: Scan-Tool-Ergebnisse, bevor das Modell sie liest

Dies ist der Scheck mit dem höchsten Wert. Jedes Werkzeugergebnis fließt in das Modell ein und beeinflusst dessen nächstes Aktion, daher ist ein durchgesickertes Geheimnis oder eine in ein Ergebnis eingefügte Anweisung eine aktive Bedrohung und kein Protokoll Eintrag. Scannen Sie jede Ausgabe nach PII und Anmeldeinformationen, bevor sie das Modell erreicht:

Setzen Sie das Häkchen auf den Ergebnispfad und schließen Sie den Fehler: Wenn die Ausgabe eine SSN, eine Kartennummer, enthält. oder einen API-Schlüssel, redigieren Sie ihn, bevor das Modell den Rohwert sieht. Ein Drop-in-Filter sieht so aus:

2. Nachrichtenintegrität: Überprüfen Sie die Token, die ein Server präsentiert

Das Blatt weist auf implizites Vertrauen zwischen einem Agenten und den von ihm aufgerufenen Servern hin. Wenn ein Server reicht Geben Sie Ihrem Agenten einen signierten Token, entschlüsseln Sie ihn und überprüfen Sie den Aussteller und das Ablaufdatum, bevor Sie den Ansprüchen vertrauen. Der Botoi-JWT-Decoder gibt den Header, die Nutzlast und den Ablaufstatus zurück, ohne dass Sie einen eingeben müssen Krypto-Bibliothek:

Bestätigen Sie das iss entspricht dem von Ihnen erwarteten Autorisierungsserver expired ist falsch. Dies geht einher mit der RFC 9207-Emittentenvalidierung der 2026 MCP-Spezifikation Jetzt ist Folgendes erforderlich: Zuerst dekodieren und dann die Emittentenübereinstimmung erzwingen, bevor der Token etwas gewährt.

3. Outbound-Proxy-Filterung: Überprüfen Sie jede URL, die ein Tool abruft

Der dynamische Tool-Aufruf bedeutet, dass Ihr Agent URLs abruft, die Sie nie fest codiert haben. Führen Sie jeden einzelnen aus durch eine Reputationsprüfung, bevor die Anfrage Ihr Netzwerk verlässt. Behandeln Sie ein Urteil mit hohem Risiko als Blockierung auf den Pfaden mit hoher Vertrauenswürdigkeit und eine Warnung überall sonst:

4. Verhinderung von Datenverlust: Erfassen Sie Geheimnisse auf dem Weg nach draußen

Die Ausgabefilterung überwacht, was von einem Tool zurückkommt. DLP überwacht, was Ihr Agent sendet. Vor einem Tool-Aufruf sendet eine Nutzlast an einen externen Dienst, führt denselben PII- und Geheimdetektor darüber aus Argumente. Ein Agent, der einen Kundendatensatz in eine Websuchabfrage einfügt, stellt eine Offenlegung dar; die Der Detektor fängt es an der Grenze ein. Wiederverwenden /v1/pii/detect Rufen Sie ab Schritt 1 an den Anforderungspfad anstelle des Antwortpfads.

5. Lokale MCP-Scans: Inventarisierung und Überprüfung der installierten Server

Das Blatt empfiehlt, die auf einem Host laufenden MCP-Server zu scannen, da ein Entwickler die Installation durchführen kann eine ohne Rezension. Rufen Sie die Paketmetadaten für jeden von npm veröffentlichten Server ab und überprüfen Sie dessen Version. Betreuer und Veröffentlichungsdatum, bevor Sie ihm vertrauen. Der botoi npm-Endpunkt gibt das in einem zurück Aufruf, den Sie in einen regelmäßigen Inventarisierungsauftrag integrieren können, der seit dem letzten hinzugefügte Server kennzeichnet scannen.

6. Sandboxing: Die Ebene, in der sich die API-Prüfungen befinden

Die verbleibende Abhilfemaßnahme ist die Infrastruktur. Führen Sie den Agenten ohne Ambient-Cloud-Anmeldeinformationen aus, a bereichsbezogenes Dateisystem und ausgehendes Netzwerk auf einer Zulassungsliste. Der Sandkasten begrenzt den Explosionsradius; die Die fünf oben genannten API-Prüfungen fangen ab, was versucht, die Grenze zu überschreiten. Keiner ersetzt den anderen.

Es lohnt sich, den Rahmen der NSA zu verinnerlichen: In einem Agentensystem ist ein Werkzeugergebnis eine Anweisung Das Modell folgt möglicherweise nicht den Daten, die es lediglich anzeigt. Jeder Scheck hier besteht aus der Lücke zwischen „Daten“ und „Aktion“ geschlossen, sobald Sie einem Modell ein Werkzeug übergeben.

Die Checkliste

Ausgänge filtern. Scannen Sie jedes Werkzeugergebnis mit /v1/pii/detect und redigieren, bevor das Modell es liest. Fehler geschlossen.
Nachrichten überprüfen. Dekodieren Sie präsentierte Token mit /v1/jwt/decode und Durchsetzen Sie den Emittenten und den Ablauf.
Überprüfen Sie ausgehende URLs. Führen Sie jedes Abrufziel durch /v1/phishing/check und blockieren Sie risikoreiche Pfade auf vertrauenswürdigen Pfaden.
Wenden Sie DLP an. Führen Sie den Geheimdetektor über Werkzeugargumente aus, bevor diese Ihre verlassen Netzwerk.
Scannen Sie lokale Server. Inventarisieren Sie die installierten MCP-Server und überprüfen Sie die Paketmetadaten für alles, was seit dem letzten Scan hinzugefügt wurde.

Botoi-Ausstellungen /v1/pii/detect, /v1/jwt/decode, /v1/phishing/checkund rund 200 weitere Einzweck-Endpunkte hinter einer API Schlüssel mit 5 Anforderung/Min. frei. Verknüpfen Sie sie mit den Anfrage- und Antwortpfaden Ihres Agenten oder verbinden Sie sie MCP-Server an Claude Codieren Sie die Prüfungen und führen Sie sie in Ihrem Editor aus. Beginnen Sie mit dem interaktive Dokumente.

FAQ

Was ist das MCP-Sicherheitsinformationsblatt der NSA?: Es handelt sich um ein 17-seitiges Informationsblatt zur Cybersicherheit des NSA Artificial Intelligence Security Center, „Model Context Protocol (MCP): Überlegungen zum Sicherheitsdesign für KI-gesteuerte Automatisierung“, veröffentlicht im Mai 2026 unter der Kennung U/OO/6030316-26 (PP-26-1834), Version 1.0. Es identifiziert Serialisierungsrisiken, Vertrauensgrenzen und Agentenmissbrauch als Kernprobleme und nennt sechs Abhilfemaßnahmen: Filterung ausgehender Proxys, Verhinderung von Datenverlust, Sandboxing, Nachrichtenintegrität, Ausgabefilterung und lokale MCP-Scans.
Warum benötigt MCP eine eigene Sicherheitsrichtlinie?: MCP bringt Risiken mit sich, die bei der klassischen API-Sicherheit übersehen werden: dynamischer Tool-Aufruf, implizites Vertrauen zwischen einem Agenten und den von ihm aufgerufenen Servern sowie von Tools gemeinsam genutzter Kontext. Bei einem Werkzeugergebnis handelt es sich nicht um passive Daten; das Modell wirkt darauf. Das bedeutet, dass eine verfälschte Tool-Ausgabe den Agenten steuern kann und eine fehlgeleitete Anfrage eine Vertrauensgrenze überschreiten kann, wie dies bei einem normalen API-Aufruf niemals der Fall wäre.
Welche NSA-Empfehlung ist für ein kleines Team am wichtigsten?: Ausgabefilterung. Das Blatt weist darauf hin, dass Werkzeugergebnisse direkt in das Modell einfließen und dessen nächste Aktion beeinflussen. Durch das Scannen aller Tool-Ausgaben auf Geheimnisse und PII, bevor sie das Modell erreichen, wird die Lücke mit dem höchsten Datenverkehr mit dem geringsten Code geschlossen. Ein einzelner Erkennungsaufruf auf dem Ausgabepfad erkennt durchgesickerte Anmeldeinformationen und eingefügte Anweisungen, bevor der Agent sie jemals sieht.
Verlangsamen diese Überprüfungen den Agenten?: Bei jeder Prüfung handelt es sich um einen einzelnen HTTP-Aufruf von weniger als 200 ms, den Sie auf dem Anforderungs- oder Antwortpfad platzieren. Führen Sie sie nach Möglichkeit parallel zum Tool-Aufruf aus und schlagen Sie auf den Pfaden mit hohem Risiko (Ausgabefilterung, Nachrichtenintegrität) geschlossen und auf den empfohlenen Pfaden (Proxy-Reputation) offen. Die zusätzliche Latenzzeit beträgt nur einen Bruchteil des Modell-Roundtrips, für den Sie bereits bezahlen.
Ersetzt dies das Sandboxing des Agenten?: Nein. Sandboxing ist eine der sechs Abhilfemaßnahmen und die API-Prüfungen hier decken die anderen fünf ab. Führen Sie den Agenten in einer Sandbox ohne Umgebungs-Cloud-Anmeldeinformationen aus und fügen Sie dann Ausgabefilterung, Nachrichtenintegrität, ausgehende Proxy-Reputation und lokale Server-Scans hinzu. Tiefenverteidigung: Die Sandbox begrenzt den Explosionsradius, die API-Prüfungen erfassen, was die Grenze überschreitet.

Starte mit botoi zu entwickeln

150+ API-Endpunkte für Abfragen, Textverarbeitung, Bildgenerierung und Entwickler-Tools. Kostenloser Tarif, keine Kreditkarte nötig.

API-Dokumentation ansehen Alle Tools ansehen