NSA menerbitkan panduan keamanan MCP: 6 memeriksa server Anda

Pada bulan Mei 2026, Pusat Keamanan Kecerdasan Buatan NSA menerbitkan Keamanan Siber setebal 17 halaman Lembar Informasi tentang keamanan Model Context Protocol (pengidentifikasi U/OO/6030316-26, Versi 1.0). Versi singkatnya: sistem agen yang dibangun di atas MCP membawa risiko yang luput dari perhatian keamanan API biasa, dan lembar tersebut menyebutkan enam mitigasi untuk menutupnya.

Masalah tersulitnya adalah kepercayaan. Hasil alat bukanlah data pasif seperti baris database; modelnya membacanya dan bertindak berdasarkan itu. Keluaran yang beracun dapat mengarahkan agen, dan permintaan yang salah rute dapat menyeberang batas kepercayaan yang tidak pernah disentuh oleh panggilan API normal. Enam mitigasi dalam lembar ini sedang disaring proxy keluar, pencegahan kehilangan data, sandboxing, integritas pesan, pemfilteran keluaran, dan pemindaian MCP lokal. Berikut adalah cara mengubah lima di antaranya menjadi pemeriksaan API yang dapat Anda transfer minggu ini. Itu keenam, sandboxing, adalah infrastruktur yang Anda jalankan.

1. Pemfilteran keluaran: memindai hasil alat sebelum model membacanya

Ini adalah cek dengan nilai tertinggi. Setiap hasil alat mengalir ke dalam model dan mempengaruhi model berikutnya tindakan, jadi rahasia yang bocor atau instruksi yang dimasukkan sebagai hasilnya adalah ancaman aktif, bukan log masuk. Pindai setiap keluaran untuk mencari PII dan kredensial sebelum mencapai model:

Tempatkan tanda centang pada jalur hasil dan gagal ditutup: jika keluaran membawa SSN, nomor kartu, atau kunci API, edit sebelum model melihat nilai mentahnya. Filter drop-in terlihat seperti ini:

2. Integritas pesan: verifikasi token yang diberikan server

Lembar tersebut menyebutkan kepercayaan implisit antara agen dan server yang dipanggilnya. Jika server menyerahkan agen Anda token yang ditandatangani, pecahkan kodenya dan periksa penerbit dan masa berlakunya sebelum Anda memercayai klaim tersebut. Decoder botoi JWT mengembalikan header, payload, dan status kedaluwarsa tanpa Anda menarik a perpustakaan kripto:

Konfirmasikan iss cocok dengan server otorisasi yang Anda harapkan dan itu expired adalah salah. Ini berpasangan dengan validasi penerbit RFC 9207 spesifikasi MCP 2026 sekarang memerlukan: dekode terlebih dahulu, lalu terapkan kecocokan penerbit sebelum token memberikan apa pun.

3. Pemfilteran proxy keluar: memeriksa setiap URL yang diambil alat

Pemanggilan alat dinamis berarti agen Anda akan mengambil URL yang tidak pernah Anda kodekan secara permanen. Jalankan masing-masing melalui pemeriksaan reputasi sebelum permintaan meninggalkan jaringan Anda. Perlakukan putusan berisiko tinggi sebagai a blokir di jalur kepercayaan tinggi dan peringatan di tempat lain:

4. Pencegahan kehilangan data: tangkap rahasia saat keluar

Pemfilteran keluaran mengawasi apa yang dihasilkan dari suatu alat. DLP mengawasi apa yang dikirimkan agen Anda. Sebelum a panggilan alat mengirimkan muatan ke layanan eksternal, menjalankan PII dan detektor rahasia yang sama melalui argumen. Agen yang menempelkan catatan pelanggan ke dalam kueri penelusuran web adalah pengungkapan; itu detektor menangkapnya di perbatasan. Gunakan kembali /v1/pii/detect panggilan dari langkah 1 ke atas jalur permintaan, bukan jalur respons.

5. Pemindaian MCP lokal: inventaris dan server yang dipasang dokter hewan

Lembar ini merekomendasikan pemindaian server MCP yang berjalan pada sebuah host, karena pengembang dapat menginstalnya satu tanpa ulasan. Tarik metadata paket untuk server apa pun yang diterbitkan npm dan periksa versinya, pengelola, dan tanggal publikasi sebelum Anda mempercayainya. Titik akhir botoi npm mengembalikannya sekaligus panggilan, yang dapat Anda lipat menjadi pekerjaan inventaris berkala yang menandai server yang ditambahkan sejak terakhir memindai.

6. Sandboxing: lapisan yang berada di dalam pemeriksaan API

Mitigasi yang tersisa adalah infrastruktur. Jalankan agen tanpa kredensial cloud ambien, a sistem file tercakup, dan jaringan keluar pada daftar yang diizinkan. Kotak pasir membatasi radius ledakan; itu lima pemeriksaan API di atas menangkap apa yang mencoba melewati batas. Tidak ada yang menggantikan yang lain.

Daftar periksa

• Saring keluaran. Pindai setiap hasil alat dengan /v1/pii/detect dan redaksi sebelum model membacanya. Gagal ditutup.
• Verifikasi pesan. Decode token yang disajikan dengan /v1/jwt/decode dan menegakkan penerbit dan kadaluarsa.
• URL keluar dokter hewan. Jalankan setiap target pengambilan /v1/phishing/check dan memblokir jalur berisiko tinggi di jalur tepercaya.
• Terapkan DLP. Jalankan pendeteksi rahasia pada argumen alat sebelum argumen tersebut meninggalkan argumen Anda jaringan.
• Pindai server lokal. Inventarisasi server MCP yang diinstal dan periksa metadata paket untuk apa pun yang ditambahkan sejak pemindaian terakhir.

Pameran Botoi /v1/pii/detect, /v1/jwt/decode, /v1/phishing/check, dan sekitar 200 titik akhir tujuan tunggal lainnya di belakang satu API kunci dengan 5 req/mnt gratis. Hubungkan keduanya ke jalur permintaan dan respons agen Anda, atau sambungkan server MCP kepada Claude Kode dan jalankan pemeriksaan dari editor Anda. Mulai dari dokumen interaktif.