Qu'est-ce que la fiche d'information de sécurité NSA MCP ?

Il s'agit d'une fiche d'information sur la cybersécurité de 17 pages du NSA Artificial Intelligence Security Center, « Model Context Protocol (MCP) : Security Design Considérations for AI-Driven Automation », publiée en mai 2026 sous l'identifiant U/OO/6030316-26 (PP-26-1834), version 1.0. Il signale les risques de sérialisation, les limites de confiance et l'utilisation abusive des agents comme étant les principaux problèmes et cite six mesures d'atténuation : filtrage des proxys sortants, prévention des pertes de données, sandboxing, intégrité des messages, filtrage des sorties et analyses MCP locales.

Pourquoi MCP a-t-il besoin de ses propres directives de sécurité ?

MCP introduit des risques que la sécurité classique des API ne prend pas en compte : appel dynamique d'outils, confiance implicite entre un agent et les serveurs qu'il appelle et contexte partagé entre les outils. Le résultat d’un outil n’est pas une donnée passive ; le modèle agit sur lui. Cela signifie qu’une sortie d’outil empoisonnée peut diriger l’agent et qu’une requête mal acheminée peut franchir une limite de confiance comme ne le ferait jamais un appel d’API normal.

Quelle recommandation de la NSA est la plus importante pour une petite équipe ?

Filtrage de sortie. La fiche souligne que les résultats de l'outil sont directement intégrés au modèle et influencent sa prochaine action. L'analyse de chaque sortie d'outil à la recherche de secrets et de données personnelles avant qu'elle n'atteigne le modèle comble l'écart de trafic le plus élevé avec le moins de code. Un seul appel de détection sur le chemin de sortie détecte les informations d’identification divulguées et les instructions injectées avant que l’agent ne les voie.

Ces contrôles ralentissent-ils l'agent ?

Chaque vérification est un seul appel HTTP inférieur à 200 ms que vous effectuez sur le chemin de requête ou de réponse. Exécutez-les en parallèle avec l'appel de l'outil lorsque vous le pouvez, et échouez fermé sur les chemins à haut risque (filtrage de sortie, intégrité des messages) et échouez ouvert sur les chemins consultatifs (réputation du proxy). La latence supplémentaire ne représente qu’une fraction du modèle aller-retour que vous payez déjà.

Cela remplace-t-il le sandboxing de l'agent ?

Non. Le sandboxing est l’une des six mesures d’atténuation et les contrôles API ici couvrent les cinq autres. Exécutez l'agent dans un bac à sable sans informations d'identification du cloud ambiant, puis ajoutez le filtrage de sortie, l'intégrité des messages, la réputation du proxy sortant et les analyses du serveur local. Défense en profondeur : le bac à sable limite le rayon d'explosion, l'API vérifie ce qui franchit la frontière.

Guide

La NSA a publié des conseils de sécurité MCP : 6 vérifications pour votre serveur

3 juin 2026 | 8 min read

Le NSA AI Security Center a envoyé une fiche d'informations de sécurité MCP de 17 pages en mai 2026. Mappez ses six mesures d'atténuation, y compris le filtrage de sortie et l'intégrité des messages, à des contrôles d'API concrets que vous pouvez envoyer cette semaine.

Security shield representing NSA MCP security design considerations — Photo by FLY:D on Unsplash

En mai 2026, le centre de sécurité de l'intelligence artificielle de la NSA a publié un document de 17 pages sur la cybersécurité. Fiche d'information sur la sécurité du Model Context Protocol (identifiant U/OO/6030316-26, version 1.0). La version courte : les systèmes agentiques construits sur MCP comportent des risques que la sécurité des API ordinaires ne néglige pas, et la fiche nomme six mesures d'atténuation pour les fermer.

Le problème difficile est la confiance. Le résultat d’un outil n’est pas une donnée passive comme l’est une ligne de base de données ; le modèle le lit et agit en conséquence. Une sortie empoisonnée peut orienter l'agent et une requête mal acheminée peut traverser une limite de confiance qu’un appel API normal ne touche jamais. Les six atténuations de la fiche filtrent proxys sortants, prévention des pertes de données, sandboxing, intégrité des messages, filtrage de sortie et analyses MCP locales. Voici comment transformer cinq d’entre eux en contrôles API que vous pouvez effectuer cette semaine. Le sixièmement, le sandboxing, c'est l'infrastructure que vous gérez autour du reste.

1. Filtrage de sortie : analysez les résultats de l'outil avant que le modèle ne les lise

Il s’agit du chèque de la plus haute valeur. Chaque résultat d'outil s'infiltre dans le modèle et influence son prochain action, donc une fuite de secret ou une instruction injectée dans un résultat est une menace active, pas un journal entrée. Analysez chaque sortie pour rechercher des informations personnelles et des informations d'identification avant qu'elle n'atteigne le modèle :

Placez le contrôle sur le chemin du résultat et fermez en cas d'échec : si la sortie comporte un SSN, un numéro de carte, ou une clé API, supprimez-la avant que le modèle ne voie la valeur brute. Un filtre déroulant ressemble à ceci :

2. Intégrité des messages : vérifiez les jetons présentés par un serveur

La feuille fait état d'une confiance implicite entre un agent et les serveurs qu'il appelle. Si un serveur remet votre agent un jeton signé, décodez-le et vérifiez l'émetteur et l'expiration avant de faire confiance aux réclamations. Le décodeur botoi JWT renvoie l'en-tête, la charge utile et l'état d'expiration sans que vous ayez à saisir un message. bibliothèque de cryptographie :

Confirmez le iss correspond au serveur d'autorisation que vous attendez et qui expired est faux. Cela s'associe à la validation de l'émetteur RFC 9207, à la spécification MCP 2026. nécessite désormais : décoder d'abord, puis appliquer la correspondance de l'émetteur avant que le jeton n'accorde quoi que ce soit.

3. Filtrage du proxy sortant : vérifiez chaque URL qu'un outil récupère

L'invocation dynamique d'un outil signifie que votre agent récupérera les URL que vous n'avez jamais codées en dur. Exécutez chacun via une vérification de réputation avant que la demande ne quitte votre réseau. Traitez un verdict à haut risque comme un blocage sur les chemins à haute confiance et un avertissement partout ailleurs :

4. Prévention de la perte de données : découvrez les secrets en sortant

Le filtrage de sortie surveille ce qui revient d'un outil. DLP surveille ce que votre agent envoie. Avant un L'appel de l'outil envoie une charge utile à un service externe, exécute les mêmes informations personnelles et le même détecteur secret sur le arguments. Un agent qui colle un enregistrement client dans une requête de recherche sur le Web constitue une divulgation ; le Le détecteur l'attrape à la limite. Réutilisez le /v1/pii/detect appeler à partir de l'étape 1 le chemin de la requête au lieu du chemin de la réponse.

5. Analyses MCP locales : inventaire et serveurs installés par le vétérinaire

La fiche recommande d'analyser les serveurs MCP exécutés sur un hôte, car un développeur peut installer un sans examen. Extrayez les métadonnées du package pour n'importe quel serveur publié par npm et vérifiez sa version, responsables et la date de publication avant de lui faire confiance. Le point de terminaison botoi npm renvoie cela en un appel, que vous pouvez intégrer dans une tâche d'inventaire périodique qui signale les serveurs ajoutés depuis le dernier numériser.

6. Sandboxing : la couche à l'intérieur de laquelle l'API vérifie

Le reste des mesures d’atténuation concerne les infrastructures. Exécutez l'agent sans informations d'identification du cloud ambiant, un système de fichiers étendu et réseau sortant sur une liste autorisée. Le bac à sable limite le rayon de l'explosion ; le cinq vérifications API ci-dessus détectent ce qui tente de franchir la frontière. Ni l’un ni l’autre ne remplace l’autre.

Le cadrage NSA mérite d’être internalisé : dans un système agentique, le résultat d’un outil est une instruction le modèle peut suivre, et non les données qu'il affiche simplement. Chaque chèque ici existe parce que l'écart entre « données » et « action » s'est fermé au moment où vous avez remis un outil à un modèle.

La liste de contrôle

Filtrer les sorties. Scannez chaque résultat d'outil avec /v1/pii/detect et rédiger avant que le modèle ne le lise. Échec fermé.
Vérifiez les messages. Décoder les jetons présentés avec /v1/jwt/decode et faire respecter l'émetteur et l'expiration.
Vérifiez les URL sortantes. Exécutez chaque cible de récupération via /v1/phishing/check et bloquez les risques élevés sur les chemins fiables.
Appliquez DLP. Exécutez le détecteur de secrets sur les arguments de l'outil avant qu'ils ne quittent votre réseau.
Analysez les serveurs locaux. Inventaire des serveurs MCP installés et vérification des métadonnées du package pour tout ce qui a été ajouté depuis la dernière analyse.

Botoi exposes /v1/pii/detect, /v1/jwt/decode, /v1/phishing/check, et environ 200 autres points de terminaison à usage unique derrière une seule API clé avec 5 req/min gratuites. Connectez-les aux chemins de demande et de réponse de votre agent, ou connectez le Serveur MCP à Claude Codez et exécutez les vérifications depuis votre éditeur. Commencez par le documents interactifs.

FAQ

Qu'est-ce que la fiche d'information de sécurité NSA MCP ?: Il s'agit d'une fiche d'information sur la cybersécurité de 17 pages du NSA Artificial Intelligence Security Center, « Model Context Protocol (MCP) : Security Design Considérations for AI-Driven Automation », publiée en mai 2026 sous l'identifiant U/OO/6030316-26 (PP-26-1834), version 1.0. Il signale les risques de sérialisation, les limites de confiance et l'utilisation abusive des agents comme étant les principaux problèmes et cite six mesures d'atténuation : filtrage des proxys sortants, prévention des pertes de données, sandboxing, intégrité des messages, filtrage des sorties et analyses MCP locales.
Pourquoi MCP a-t-il besoin de ses propres directives de sécurité ?: MCP introduit des risques que la sécurité classique des API ne prend pas en compte : appel dynamique d'outils, confiance implicite entre un agent et les serveurs qu'il appelle et contexte partagé entre les outils. Le résultat d’un outil n’est pas une donnée passive ; le modèle agit sur lui. Cela signifie qu’une sortie d’outil empoisonnée peut diriger l’agent et qu’une requête mal acheminée peut franchir une limite de confiance comme ne le ferait jamais un appel d’API normal.
Quelle recommandation de la NSA est la plus importante pour une petite équipe ?: Filtrage de sortie. La fiche souligne que les résultats de l'outil sont directement intégrés au modèle et influencent sa prochaine action. L'analyse de chaque sortie d'outil à la recherche de secrets et de données personnelles avant qu'elle n'atteigne le modèle comble l'écart de trafic le plus élevé avec le moins de code. Un seul appel de détection sur le chemin de sortie détecte les informations d’identification divulguées et les instructions injectées avant que l’agent ne les voie.
Ces contrôles ralentissent-ils l'agent ?: Chaque vérification est un seul appel HTTP inférieur à 200 ms que vous effectuez sur le chemin de requête ou de réponse. Exécutez-les en parallèle avec l'appel de l'outil lorsque vous le pouvez, et échouez fermé sur les chemins à haut risque (filtrage de sortie, intégrité des messages) et échouez ouvert sur les chemins consultatifs (réputation du proxy). La latence supplémentaire ne représente qu’une fraction du modèle aller-retour que vous payez déjà.
Cela remplace-t-il le sandboxing de l'agent ?: Non. Le sandboxing est l’une des six mesures d’atténuation et les contrôles API ici couvrent les cinq autres. Exécutez l'agent dans un bac à sable sans informations d'identification du cloud ambiant, puis ajoutez le filtrage de sortie, l'intégrité des messages, la réputation du proxy sortant et les analyses du serveur local. Défense en profondeur : le bac à sable limite le rayon d'explosion, l'API vérifie ce qui franchit la frontière.

Commencez a construire avec botoi

150+ endpoints API pour la recherche, le traitement de texte, la generation d'images et les utilitaires pour developpeurs. Offre gratuite, sans carte bancaire.

Voir la documentation API Voir tous les outils