AuthZ Agent of Chaos: MCP

Der er stor spænding omkring agentiske AI-åbne protokoller som f.eks. Model kontekstprotokol (MCP) og Agent2Agent (A2A), og med god grund. Helpdesk-medarbejdere, der er i stand til at handle på et bredere sæt ressourcer og funktioner, leverer ubestridelige fordele til organisationer, der søger en nemmere måde at forbinde kunstig intelligens til datakilder på. Den globale vedtagelse af disse protokoller kan virkelig repræsentere et vendepunkt for menneske-computer-interaktioner. Denne artikel vil dog fokusere på MCP med en opfølgning på A2A i de kommende uger.

TL; DR - OAuth alene vil ikke løse alle sikkerhedsproblemer. Uden de rette sikkerhedsovervejelser kan disse protokoller udhule næsten alle sikkerhedsgrænser, der er afhængige af identitet.

Der er eksisterende bestræbelser på at udforme en RFC til MCP-serverautorisation, men den åbne karakter af MCP's designspecifikation kræver, at organisationer tager proaktivt ejerskab af deres sikkerhed. Specifikt kan MCP introducere sårbarheder, der sammensætter traditionelle angrebsvektorer med nye, AI-specifikke vektorer. MCP bruger agenter, der opererer inden for et decentraliseret autorisationslandskab. Som et resultat arver disse agenter brugerens tillidsgrænser og sikkerhedsperimetre uden tilskrivning, hvilket skaber, hvad jeg har karakteriseret som en "AuthZ-agent for kaos".

Mens der dukker mange gode tekniske artikler op om emnet, tænkte jeg, at jeg ville opsummere nogle af mine observationer og generelle sikkerhedsproblemer.

Udfordringer med administration af tilladelser

Tilladelsesstyringsarkitekturen i MCP arver det fulde omfang af en brugers OAuth-tilladelsesområde. Aktuelle implementeringer anvender ofte en engangsgodkendelsesmodel, hvor de første tilladelser fortsætter under interaktionssessioner. Claude Desktop anvender f.eks. indledende tilladelsessvar på alle efterfølgende interaktioner med et bestemt værktøj, hvilket skaber en sikkerhedsgrænse, der kan udnyttes, og som omdanner midlertidige adgangstilladelser til vedvarende adgangsgodkendelser. Manglen på en sikker standard og et valg mellem godkendelsestræthed og vedvarende adgang vil resultere i, at brugeren vælger sidstnævnte som den eneste levedygtige mulighed. Disse designmønstre peger på grundlæggende svagheder i identitet og tilskrivning, som vil kræve betydelig protokoludvikling for at blive håndteret tilstrækkeligt. Autorisationsgrænser og transitiv identitet har opløst sikkerhedsgrænser for enheder, hvilket skaber grundlæggende udfordringer for godkendelsessystemer, der er afhængige af stabile identitetskonstruktioner.

Angrebsflade mellem værktøjer

Sikkerhedsforskning har for nylig vist, at indirekte promptinjektion er mulig ved at indlejre ondsindede kommandoer i tilsyneladende uskadelige dokumenter, er det muligt at orkestrere komplekse angrebskæder med flere værktøjer uden at udløse yderligere tilladelsesprompter. Angrebsmønsteret illustrerer, hvordan den aggregerede karakter af værktøjsadgang og tilladelser skaber eksponentielt mere komplekse angrebsflader, som traditionelle sikkerhedsmodeller ikke i tilstrækkelig grad fanger eller indeholder. Vi kan observere scenarier, hvor tilladelsesforstærkning kaskader, der opstår uforudsigeligt fra interaktionen mellem tilsyneladende separate agentmedierede autorisationsdomæner. I virksomheders AI-systemer, som tillader delte arbejdsområder, tillader MCP data at krydse LLM som kontrolplan, hvilket effektivt omgår de primære dataadgangsbegrænsninger.

Omfavn MCP ansvarligt

I sidste ende kræver sikring af MCP for din organisation og det bredere agentværktøjsøkosystem at udvide traditionelle rollebaserede adgangsmodeller, der primært fokuserer på formodede menneskelige identitetsparadigmer. I stedet skal organisationer udvikle adaptive styringsrammer, der kan rumme den iboende kompleksitet af agentmedierede beregningsøkosystemer. Dette nødvendiggør en grundlæggende rekonceptualisering af sikkerhed, væk fra deterministiske kontrolmodeller, mod sammensatte identitets- og sandsynlighedstrusselsrammer, der er i stand til at evaluere egenskaberne ved autonome systeminteraktioner.

Fremtiden for MCP-sikkerhed ligger ikke i at begrænse dens muligheder. Som branche skal vi prioritere at udvikle styringsmodeller, der kan udnytte MCP's transformative potentiale og samtidig afbøde de nye risici, det introducerer for vores økosystemer. Jeg er fortsat optimistisk med hensyn til fordelene ved AI, og på lang sigt vil erfaringerne fra fejlforholdene i tidlige brugstilfælde vise sig værdifulde for at styrke sikkerheden på vores platforme.

Hvad kan du gøre:

• Udarbejd retningslinjer og politikker for brugen af MCP i din organisation.
• Sørg for, at helpdesk-medarbejderhandlinger kan overvåges, logges og tilskrives nøjagtigt. Dette vil sandsynligvis kræve en sammensat identitetsramme.
• Brug nøglestyringssystemer til sikker opbevaring af MCP-serverhemmeligheder.
• Gennemgå og generhverv ubrugte adgangsrettigheder på tværs af din virksomhed.
• Udforsk ressourcer til, hvordan du forbedrer og indfører MCP ansvarligt.