NSA 发布 MCP 安全指南：对您的服务器进行 6 项检查

2026 年 5 月，美国国家安全局人工智能安全中心发布了一份 17 页的网络安全报告 关于模型上下文协议安全性的信息表（标识符 U/OO/6030316-26，版本 1.0）。 简而言之：基于 MCP 构建的代理系统存在普通 API 安全性所忽略的风险， 该表列出了六种缓解措施来关闭它们。

困难的问题是信任。 工具结果不像数据库行那样是被动数据； 模型 阅读它并对其采取行动。 有毒的输出可以引导代理，错误路由的请求可以跨越 普通 API 调用永远不会触及的信任边界。 该表的六项缓解措施正在过滤 出站代理、数据丢失防护、沙箱、消息完整性、输出过滤和 本地 MCP 扫描。 以下是如何将其中五个转化为 API 检查，您可以在本周进行连接。 的 第六，沙箱，是您围绕其余部分运行的基础设施。

1. 输出过滤：在模型读取结果之前扫描工具结果

这是价值最高的支票。 每个工具结果都会流入模型并影响其下一个 行动，因此结果中泄露的秘密或注入的指令是主动威胁，而不是日志 条目。 在每个输出到达模型之前扫描 PII 和凭据：

将检查放在结果路径上并关闭失败：如果输出包含 SSN、卡号、 或 API 密钥，在模型看到原始值之前对其进行编辑。 嵌入式过滤器如下所示：

2. 消息完整性：验证服务器提供的令牌

该表指出了代理与其调用的服务器之间的隐式信任。 如果服务器手 您的代理有一个签名令牌，对其进行解码并检查发行者和过期时间，然后再信任该声明。 botoi JWT 解码器返回标头、有效负载和过期状态，而无需您拉入 加密库：

确认 iss 与您期望的授权服务器匹配 expired 是假的。 这与 RFC 9207 发行人验证 2026 MCP 规范配对 现在要求：首先解码，然后在令牌授予任何内容之前强制执行颁发者匹配。

3. 出站代理过滤：审查工具获取的每个 URL

动态工具调用意味着您的代理将获取您从未硬编码的 URL。 运行每一个 在请求离开您的网络之前通过信誉检查。 将高风险判决视为 阻止高信任路径并在其他地方发出警告：

4. 数据防丢失：在外出时捕捉秘密

输出过滤监视工具返回的内容。 DLP 会监视您的代理发送的内容。 之前 工具调用将有效负载发送到外部服务，在外部服务上运行相同的 PII 和秘密检测器 论据。 代理将客户记录粘贴到网络搜索查询中即构成披露； 的 探测器在边界处捕获它。 重复使用 /v1/pii/detect 从第 1 步开始调用 请求路径而不是响应路径。

5. 本地 MCP 扫描：清点和审查已安装的服务器

该表建议扫描主机上运行的 MCP 服务器，因为开发人员可以安装 一篇没有评论。 拉取任何 npm 发布的服务器的包元数据并检查其版本， 维护者，并在您信任之前发布日期。 botoi npm 端点将其返回一次 调用，您可以将其合并到定期清单作业中，该作业标记自上次以来添加的服务器 扫描。

6. 沙箱：API 检查所在的层

剩下的缓解措施是基础设施。 在没有环境云凭据的情况下运行代理， 范围文件系统和允许列表上的出站网络。 沙箱限制了爆炸半径； 的 上述五项 API 检查可捕获试图跨越边界的内容。 两者都不能取代另一个。

清单

• 过滤输出。 扫描每个工具结果 /v1/pii/detect 和 在模型读取之前进行编辑。 失败关闭。
• 验证消息。 解码呈现的令牌 /v1/jwt/decode 和 强制执行发行人并到期。
• 审查出站 URL。 运行每个获取目标 /v1/phishing/check 并阻止可信路径上的高风险。
• 应用 DLP。 在工具参数离开您之前运行秘密检测器 网络。
• 扫描本地服务器。 清点已安装的 MCP 服务器并检查包元数据 自上次扫描以来添加的任何内容。

波托伊展品 /v1/pii/detect, /v1/jwt/decode, /v1/phishing/check，以及一个 API 背后大约 200 个其他单一用途端点 密钥每分钟 5 次免费。 将它们连接到代理的请求和响应路径中，或连接 MCP服务器 致克劳德 从编辑器中编码并运行检查。 从 交互式文档。