La NSA publicó una guía de seguridad de MCP: 6 comprobaciones para su servidor

En mayo de 2026, el Centro de Seguridad de Inteligencia Artificial de la NSA publicó un informe sobre ciberseguridad de 17 páginas. Ficha Informativa sobre seguridad del Protocolo de Contexto Modelo (identificador U/OO/6030316-26, Versión 1.0). La versión corta: los sistemas agentes construidos sobre MCP conllevan riesgos que la seguridad API ordinaria pasa por alto. y la hoja nombra seis mitigaciones para cerrarlas.

El problema difícil es la confianza. El resultado de una herramienta no son datos pasivos como lo son las filas de una base de datos; el modelo lo lee y actúa en consecuencia. Una salida envenenada puede desviar al agente y una solicitud mal enrutada puede cruzar un límite de confianza que una llamada API normal nunca toca. Se filtran las seis mitigaciones de la hoja proxies salientes, prevención de pérdida de datos, zona de pruebas, integridad de mensajes, filtrado de salida y escaneos MCP locales. A continuación se explica cómo convertir cinco de ellos en comprobaciones de API que puede transferir esta semana. el sexto, el sandboxing, es la infraestructura que manejas alrededor del resto.

1. Filtrado de salida: resultados de la herramienta de escaneo antes de que el modelo los lea

Este es el cheque de mayor valor. El resultado de cada herramienta fluye hacia el modelo e influye en su siguiente acción, por lo que un secreto filtrado o una instrucción inyectada en un resultado es una amenaza activa, no un registro entrada. Escanee cada salida en busca de PII y credenciales antes de que llegue al modelo:

Coloque el cheque en la ruta del resultado y falle cerrado: si la salida lleva un SSN, un número de tarjeta, o una clave API, redactela antes de que el modelo vea el valor bruto. Un filtro desplegable se ve así:

2. Integridad del mensaje: verificar los tokens que presenta un servidor

La hoja destaca la confianza implícita entre un agente y los servidores al que llama. Si un servidor entrega su agente un token firmado, decodificarlo y verificar el emisor y el vencimiento antes de confiar en los reclamos. El decodificador botoi JWT devuelve el encabezado, la carga útil y el estado de vencimiento sin que usted ingrese un biblioteca criptográfica:

Confirma el iss coincide con el servidor de autorización que espera y que expired es falso. Esto se combina con la validación del emisor RFC 9207 y la especificación MCP 2026. ahora requiere: decodificar primero, luego hacer cumplir la coincidencia del emisor antes de que el token otorgue algo.

3. Filtrado de proxy saliente: examine cada URL que obtiene una herramienta

La invocación de herramienta dinámica significa que su agente obtendrá URL que usted nunca codificó. Ejecutar cada uno a través de una verificación de reputación antes de que la solicitud abandone su red. Trate un veredicto de alto riesgo como un bloqueo en las rutas de alta confianza y una advertencia en todos los demás lugares:

4. Prevención de pérdida de datos: descubra los secretos al salir

El filtrado de salida observa lo que regresa de una herramienta. DLP vigila lo que envía su agente. ante un La llamada a la herramienta envía una carga útil a un servicio externo, ejecuta la misma PII y el mismo detector secreto en el argumentos. Un agente que pega un registro de cliente en una consulta de búsqueda web es una divulgación; el El detector lo detecta en el límite. Reutilizar el /v1/pii/detect llamar desde el paso 1 en adelante la ruta de solicitud en lugar de la ruta de respuesta.

5. Escaneos de MCP locales: inventario y verificación de servidores instalados

La hoja recomienda escanear los servidores MCP que se ejecutan en un host, porque un desarrollador puede instalar uno sin revisión. Extraiga los metadatos del paquete para cualquier servidor publicado por npm y verifique su versión. mantenedores y fecha de publicación antes de que usted confíe en él. El punto final botoi npm devuelve eso en uno llamada, que puede incorporar a un trabajo de inventario periódico que marca los servidores agregados desde la última escanear.

6. Sandboxing: la capa en la que se encuentran las comprobaciones de API

La mitigación restante es la infraestructura. Ejecute el agente sin credenciales de nube ambiental, una sistema de archivos con alcance y red saliente en una lista de permitidos. La caja de arena limita el radio de la explosión; el Las cinco comprobaciones de API anteriores detectan lo que intenta cruzar el límite. Ninguno reemplaza al otro.

la lista de verificación

• Filtrar salidas. Escanee cada resultado de herramienta con /v1/pii/detect y redactar antes de que el modelo lo lea. Fallo cerrado.
• Verificar mensajes. Decodificar tokens presentados con /v1/jwt/decode y hacer cumplir al emisor y caducar.
• Examina las URL salientes. Ejecute cada objetivo de recuperación /v1/phishing/check y bloquear los de alto riesgo en rutas confiables.
• Aplicar DLP. Ejecute el detector secreto sobre los argumentos de la herramienta antes de que abandonen su red.
• Escanear servidores locales. Haga un inventario de los servidores MCP instalados y verifique los metadatos del paquete para cualquier cosa agregada desde el último escaneo.

exhibiciones de botoi /v1/pii/detect, /v1/jwt/decode, /v1/phishing/checky aproximadamente otros 200 puntos finales de propósito único detrás de una API llave con 5 req/min gratis. Conéctelos a las rutas de solicitud y respuesta de su agente, o conecte el servidor MCP a claudio Codifique y ejecute las comprobaciones desde su editor. Empezar desde el documentos interactivos.