NSA が発行した MCP セキュリティ ガイダンス: サーバーの 6 つのチェック

2026 年 5 月、NSA の人工知能セキュリティ センターは 17 ページのサイバーセキュリティを発表しました。 モデル コンテキスト プロトコルのセキュリティに関する情報シート (識別子 U/OO/6030316-26、バージョン 1.0)。 短いバージョン: MCP 上に構築されたエージェント システムには、通常の API セキュリティが見逃すリスクが伴います。 そしてシートには、それらを解決するための 6 つの緩和策が挙げられています。

難しい問題は信頼です。 ツールの結果は、データベース行のような受動的データではありません。 モデル それを読んで、それに基づいて行動します。 ポイズニングされた出力によりエージェントが操作される可能性があり、誤ってルーティングされたリクエストが交差する可能性があります。 通常の API 呼び出しでは決して触れない信頼境界。 シートの 6 つの緩和策はフィルタリングです 送信プロキシ、データ損失防止、サンドボックス、メッセージの整合性、出力フィルタリング、 ローカル MCP スキャン。 今週は、そのうちの 5 つを API チェックに変える方法を紹介します。 の 6 番目のサンドボックスは、残りの部分で実行されるインフラストラクチャです。

1. 出力フィルタリング: モデルがツールの結果を読み取る前にスキャンツールの結果をスキャンします。

これは最高値の小切手です。 すべてのツールの結果がモデルに流れ込み、次のモデルに影響を与えます。 したがって、漏洩した秘密または結果として挿入された命令は、ログではなくアクティブな脅威となります。 エントリー。 モデルに到達する前に、各出力をスキャンして PII と資格情報を確認します。

結果パスにチェックを入れてフェールクローズします。出力に SSN、カード番号が含まれる場合、 または API キーの場合は、モデルが生の値を認識する前に編集してください。 ドロップイン フィルターは次のようになります。

2. メッセージの整合性: サーバーが提示するトークンを検証します。

このシートでは、エージェントとエージェントが呼び出すサーバー間の暗黙的な信頼を示しています。 サーバーがハンドリングした場合 エージェントが署名付きトークンを受け取ったら、それをデコードして発行者と有効期限を確認してから、その主張を信頼してください。 Botoi JWT デコーダーは、ヘッダー、ペイロード、および有効期限の状態を返します。 暗号ライブラリ:

確認してください iss 期待する認可サーバーと一致し、 expired は誤りです。 これは、2026 MCP 仕様の RFC 9207 発行者検証と組み合わされます。 現在は、最初にデコードし、トークンが何かを付与する前に発行者の一致を強制する必要があります。

3. 送信プロキシ フィルタリング: ツールが取得したすべての URL を精査します

動的なツールの呼び出しは、ハードコーディングされていない URL をエージェントがフェッチすることを意味します。 それぞれを実行します リクエストがネットワークから送信される前に、レピュテーション チェックを通じて。 リスクの高い判決を、 高信頼パスではブロックされ、それ以外の場所では警告が表示されます。

4. データ損失防止: 外出中に秘密をキャッチ

出力フィルタリングは、ツールから返されるものを監視します。 DLP はエージェントが送信する内容を監視します。 前に ツール呼び出しはペイロードを外部サービスに送信し、同じ PII と秘密検出器を外部サービス上で実行します。 引数。 エージェントが顧客レコードを Web 検索クエリに貼り付けることは開示に当たります。 の 検出器は境界でそれをキャッチします。 再利用する /v1/pii/detect ステップ1から電話をかける 応答パスの代わりに要求パス。

5. ローカル MCP スキャン: インベントリと検査がインストールされたサーバー

シートでは、開発者がインストールできる可能性があるため、ホスト上で実行されている MCP サーバーをスキャンすることを推奨しています。 レビューなしのもの。 npm で公開されたサーバーのパッケージ メタデータを取得し、そのバージョンを確認します。 信頼する前に、メンテナーと公開日を確認してください。 botoi npm エンドポイントはそれを 1 回で返します この呼び出しは、前回以降に追加されたサーバーにフラグを立てる定期的なインベントリ ジョブに組み込むことができます。 スキャンします。

6. サンドボックス化: API チェックが内部に存在する層

残りの緩和策はインフラストラクチャです。 アンビエント クラウド認証情報を使用せずにエージェントを実行します。 スコープ指定されたファイルシステム、および許可リスト上の送信ネットワーク。 サンドボックスは爆発範囲を制限します。 の 上記の 5 つの API チェックは、境界を越えようとするものを捕捉します。 どちらも他方に置き換わるものではありません。

チェックリスト

• 出力をフィルターします。 すべてのツールの結果をスキャンします /v1/pii/detect そして モデルがそれを読み取る前に編集します。 フェイルクローズしました。
• メッセージを確認します。 提示されたトークンをデコードします /v1/jwt/decode そして 発行者と有効期限を強制します。
• アウトバウンド URL を精査します。 各フェッチターゲットを実行します /v1/phishing/check 信頼できるパス上の高リスクをブロックします。
• DLPを適用します。 ツールの引数がユーザーから離れる前に、シークレット ディテクタを実行します。 ネットワーク。
• ローカルサーバーをスキャンします。 インストールされている MCP サーバーのインベントリを作成し、パッケージのメタデータを確認する 最後のスキャン以降に追加されたもの。

ボトイの展示品 /v1/pii/detect、 /v1/jwt/decode、 /v1/phishing/check、および 1 つの API の背後にある約 200 の他の単一目的エンドポイント 5 req/min のキーは無料です。 それらをエージェントのリクエストおよびレスポンスのパスに接続するか、 MCPサーバー クロードへ コードを記述し、エディターからチェックを実行します。 から始めてください インタラクティブドキュメント。