Что такое информационный листок безопасности MCP АНБ?

Это 17-страничный информационный бюллетень по кибербезопасности Центра безопасности искусственного интеллекта АНБ «Протокол контекста модели (MCP): соображения проектирования безопасности для автоматизации на основе искусственного интеллекта», выпущенный в мае 2026 года под идентификатором U/OO/6030316-26 (PP-26-1834), версия 1.0. В качестве основных проблем он отмечает риски сериализации, границы доверия и неправильное использование агентов и называет шесть способов их устранения: фильтрация исходящих прокси-серверов, предотвращение потери данных, изолированная программная среда, целостность сообщений, фильтрация вывода и локальное сканирование MCP.

Почему MCP необходимо собственное руководство по безопасности?

MCP создает риски, которые не учитывает классическая безопасность API: динамический вызов инструментов, неявное доверие между агентом и серверами, которые он вызывает, а также общий контекст между инструментами. Результат инструмента — это не пассивные данные; модель действует на него. Это означает, что отравленные выходные данные инструмента могут управлять агентом, а неправильно маршрутизированный запрос может пересечь границу доверия, чего никогда не произошло бы при обычном вызове API.

Какая рекомендация АНБ наиболее важна для небольшой команды?

Фильтрация вывода. В таблице подчеркивается, что результаты работы инструмента передаются прямо в модель и влияют на ее следующее действие. Сканирование выходных данных каждого инструмента на предмет секретов и PII до того, как они достигнут модели, закрывает пробел с наибольшим трафиком с помощью наименьшего количества кода. Один вызов обнаружения на пути вывода перехватывает утечку учетных данных и введенных инструкций еще до того, как агент их увидит.

Замедляют ли эти проверки работу агента?

Каждая проверка представляет собой один HTTP-вызов длительностью менее 200 мс, который вы размещаете на пути запроса или ответа. Запускайте их параллельно с вызовом инструмента, где это возможно, и закрывайте при сбое на путях с высоким риском (фильтрация вывода, целостность сообщений) и открывайте при отказе на рекомендательных (репутация прокси). Добавленная задержка составляет часть стоимости модели туда и обратно, за которую вы уже платите.

Заменяет ли это изолированную среду агента?

Нет. Песочница — это один из шести способов снижения риска, а проверки API, представленные здесь, охватывают остальные пять. Запустите агент в изолированной программной среде без учетных данных окружающего облака, затем добавьте фильтрацию вывода, целостность сообщений, репутацию исходящего прокси-сервера и сканирование локального сервера. Глубокая защита: песочница ограничивает радиус взрыва, API проверяет, что пересекает границу.

Guide

АНБ опубликовало руководство по безопасности MCP: 6 проверок вашего сервера

3 июн. 2026 г. | 8 min read

В мае 2026 года Центр безопасности искусственного интеллекта АНБ предоставил 17-страничный информационный листок по безопасности MCP. Сопоставьте шесть мер по снижению рисков, включая фильтрацию вывода и целостность сообщений, с конкретными проверками API, которые вы можете отправить на этой неделе.

Security shield representing NSA MCP security design considerations — Photo by FLY:D on Unsplash

В мае 2026 года Центр безопасности искусственного интеллекта АНБ опубликовал 17-страничный отчет по кибербезопасности. Информационный листок по безопасности протокола контекста модели (идентификатор U/OO/6030316-26, версия 1.0). Краткая версия: агентные системы, построенные на MCP, несут в себе риски, которые не учитывает обычная система безопасности API. и в листе указаны шесть мер по их устранению.

Сложная проблема — доверие. Результат инструмента не является пассивными данными, как строка базы данных; модель читает его и действует в соответствии с ним. Отравленный вывод может управлять агентом, а неправильно маршрутизированный запрос может пересечь граница доверия, которой никогда не касается обычный вызов API. Шесть мер по смягчению последствий листа фильтруют исходящие прокси, предотвращение потери данных, изолированная программная среда, целостность сообщений, фильтрация вывода и локальное сканирование MCP. Вот как превратить пять из них в проверки API, которые вы можете подключить на этой неделе. в-шестых, песочница — это инфраструктура, которой вы управляете вокруг остального.

1. Фильтрация вывода: результаты сканирования до того, как модель их прочитает.

Это самый ценный чек. Каждый результат инструмента попадает в модель и влияет на ее последующую работу. действие, поэтому утечка секрета или внедренная инструкция в результате являются активной угрозой, а не журналом. вход. Сканируйте каждый вывод на предмет личных данных и учетных данных, прежде чем он достигнет модели:

Поместите флажок в путь результата и закройте его при сбое: если выходные данные содержат SSN, номер карты, или ключ API, отредактируйте его, прежде чем модель увидит необработанное значение. Вставной фильтр выглядит следующим образом:

2. Целостность сообщения: проверьте токены, предоставляемые сервером.

Лист указывает на неявное доверие между агентом и серверами, которые он вызывает. Если сервер передает вашему агенту подписанный токен, раскодируйте его, проверьте эмитента и срок действия, прежде чем доверять утверждениям. Декодер botoi JWT возвращает заголовок, полезную нагрузку и состояние срока действия без необходимости вводить криптобиблиотека:

Подтвердите iss соответствует серверу авторизации, который вы ожидаете, и что expired является ложным. Это сочетается с проверкой издателем RFC 9207 спецификации MCP 2026. теперь требуется: сначала декодировать, затем обеспечить соответствие эмитента, прежде чем токен предоставит что-либо.

3. Фильтрация исходящего прокси-сервера: проверяйте каждый URL-адрес, полученный инструментом.

Динамический вызов инструмента означает, что ваш агент будет получать URL-адреса, которые вы никогда не запрограммировали жестко. Запустите каждый посредством проверки репутации, прежде чем запрос покинет вашу сеть. Относитесь к вердикту о высоком риске как к блокировка на путях с высоким уровнем доверия и предупреждение везде:

4. Предотвращение потери данных: ловите секреты на выходе

Фильтрация вывода отслеживает то, что возвращается от инструмента. DLP следит за тем, что отправляет ваш агент. Перед Вызов инструмента отправляет полезную нагрузку во внешнюю службу, запускает тот же детектор PII и секретов через аргументы. Агент, который вставляет запись о клиенте в поисковый запрос в Интернете, является раскрытием информации; тот детектор улавливает его на границе. Используйте повторно /v1/pii/detect звонок с шага 1 путь запроса вместо пути ответа.

5. Локальное сканирование MCP: инвентаризация и проверка установленных серверов.

В таблице рекомендуется сканировать серверы MCP, работающие на хосте, поскольку разработчик может установить один без обзора. Извлеките метаданные пакета для любого сервера, опубликованного npm, и проверьте его версию. сопровождающие и дату публикации, прежде чем вы ей поверите. Конечная точка botoi npm возвращает это за один раз. вызов, который можно включить в периодическое задание инвентаризации, помечающее серверы, добавленные с момента последнего сканирование.

6. Песочница: слой, внутри которого находится проверка API.

Оставшееся смягчение последствий – это инфраструктура. Запустите агент без учетных данных окружающего облака, файловая система с ограниченной областью действия и исходящая сеть в белом списке. Песочница ограничивает радиус взрыва; тот пять проверок API выше выявляют то, что пытается пересечь границу. Ни одно не заменяет другое.

Структуру АНБ стоит усвоить: в агентной системе результатом инструмента является инструкция. модель может следовать, а не данные, которые она просто отображает. Каждая проверка здесь существует, потому что пробел между «данными» и «действием» закрывается в тот момент, когда вы передаете модели инструмент.

Контрольный список

Фильтрация выходов. Сканируйте каждый результат инструмента с помощью /v1/pii/detect и отредактируйте его до того, как модель прочитает его. Фэйл закрылся.
Проверьте сообщения. Расшифруйте представленные жетоны с помощью /v1/jwt/decode и обеспечить соблюдение эмитента и истечения срока действия.
Проверка исходящих URL-адресов. Запустите каждую цель выборки через /v1/phishing/check и блокировать высокий риск на доверенных путях.
Примените DLP. Запустите детектор секретов для аргументов инструмента, прежде чем они покинут ваш компьютер. сеть.
Сканировать локальные серверы. Инвентаризация установленных серверов MCP и проверка метаданных пакета. для всего, что было добавлено с момента последнего сканирования.

Ботойские экспонаты /v1/pii/detect, /v1/jwt/decode, /v1/phishing/checkи примерно 200 других одноцелевых конечных точек за одним API. ключ на 5 рек/мин бесплатно. Подключите их к путям запросов и ответов вашего агента или подключите MCP-сервер Клоду Напишите код и запустите проверки из вашего редактора. Начните с интерактивные документы.

FAQ

Что такое информационный листок безопасности MCP АНБ?: Это 17-страничный информационный бюллетень по кибербезопасности Центра безопасности искусственного интеллекта АНБ «Протокол контекста модели (MCP): соображения проектирования безопасности для автоматизации на основе искусственного интеллекта», выпущенный в мае 2026 года под идентификатором U/OO/6030316-26 (PP-26-1834), версия 1.0. В качестве основных проблем он отмечает риски сериализации, границы доверия и неправильное использование агентов и называет шесть способов их устранения: фильтрация исходящих прокси-серверов, предотвращение потери данных, изолированная программная среда, целостность сообщений, фильтрация вывода и локальное сканирование MCP.
Почему MCP необходимо собственное руководство по безопасности?: MCP создает риски, которые не учитывает классическая безопасность API: динамический вызов инструментов, неявное доверие между агентом и серверами, которые он вызывает, а также общий контекст между инструментами. Результат инструмента — это не пассивные данные; модель действует на него. Это означает, что отравленные выходные данные инструмента могут управлять агентом, а неправильно маршрутизированный запрос может пересечь границу доверия, чего никогда не произошло бы при обычном вызове API.
Какая рекомендация АНБ наиболее важна для небольшой команды?: Фильтрация вывода. В таблице подчеркивается, что результаты работы инструмента передаются прямо в модель и влияют на ее следующее действие. Сканирование выходных данных каждого инструмента на предмет секретов и PII до того, как они достигнут модели, закрывает пробел с наибольшим трафиком с помощью наименьшего количества кода. Один вызов обнаружения на пути вывода перехватывает утечку учетных данных и введенных инструкций еще до того, как агент их увидит.
Замедляют ли эти проверки работу агента?: Каждая проверка представляет собой один HTTP-вызов длительностью менее 200 мс, который вы размещаете на пути запроса или ответа. Запускайте их параллельно с вызовом инструмента, где это возможно, и закрывайте при сбое на путях с высоким риском (фильтрация вывода, целостность сообщений) и открывайте при отказе на рекомендательных (репутация прокси). Добавленная задержка составляет часть стоимости модели туда и обратно, за которую вы уже платите.
Заменяет ли это изолированную среду агента?: Нет. Песочница — это один из шести способов снижения риска, а проверки API, представленные здесь, охватывают остальные пять. Запустите агент в изолированной программной среде без учетных данных окружающего облака, затем добавьте фильтрацию вывода, целостность сообщений, репутацию исходящего прокси-сервера и сканирование локального сервера. Глубокая защита: песочница ограничивает радиус взрыва, API проверяет, что пересекает границу.

Начните разработку с botoi

150+ API-эндпоинтов для поиска, обработки текста, генерации изображений и утилит для разработчиков. Бесплатный тариф, без банковской карты.

Документация API Все инструменты