İnovasyon ile risk gelir. Kuruluşlar ilk önce AI altyapısı inşa etmek için yarıştıkça güvenlik ayakta kalmak için mücadele ediyor. Çok ajanik sistemler-büyük dil modelleri (LLM’ler) ve çok bileşenli protokoller (MCP) üzerine inşa edilenler-muazzam potansiyel getirir, ancak geleneksel araçların işlemek için tasarlanmadığı yeni güvenlik açıkları da getirir.
Wallarm’da, yakın zamanda piyasaya sürülen OWASP Multi-Ajantik Sistem Tehdit Modelleme Kılavuzu V1.0 da dahil olmak üzere bu yeni saldırı yüzeyleri etrafında ortaya çıkan rehberliği yakından takip ediyoruz. Bu önerilerden yola çıkarak, gerçek dünyadaki riskleri ve AI-anadili ortamları güvence altına almak için en iyi uygulamaları özetleyen pratik bir MCP güvenlik kontrol listesi derledik.
Kontrol listesi aracılığıyla kendinizi gezinmek için aşağıdaki bağlantılara tıklayın
T11 – Beklenmedik RCE ve Kod Saldırıları
Ai-anadal sistemlerde, ajanlar sadece sorgulara yanıt vermez; Kod oluşturuyor ve yürütüyorlar. Bu, ince ve tehlikeli hızlı enjeksiyonun kapısını açar. Bir saldırgan, işletim sistemi komutları gibi kötü niyetli talimatları bir istemine enjekte ederse, LLM bilmeden gömülebilir ve yürütebilir. İşte nasıl hafifletebilirsiniz:
- AI kodu oluşturma izinlerini kısıtlayın: Yalnızca kesinlikle gerekli olan kod oluşturulmasına izin verin.
- Sandbox yürütme ortamları Ana bilgisayar düzeyinde uzlaşmayı önlemek için.
- Yürütme Kontrol Politikalarını Uygula Manuel inceleme için yüksek ayrıcalıklarla AI tarafından oluşturulan kodu işaretlemek ve tutmak.
- CPU, RAM ve yürütme süresini sınırlayın görevin kapsamına uyacak şekilde.
- En az ayrıcalık uygulayın: Yalnızca gerekli minimum izinleri verir.
- Sistem kaynaklarına erişimi sınırlayındosya sistemleri ve ağlar gibi.
- Block listeleri yerine alıcı listeleri kullanın hangi işlemlerin açıkça izin verildiğini tanımlamak.
- Güvenli kodlama uygulamalarını takip edin Aracı kodu ve takımları arasında sürekli olarak.
T26 – Tutarsız MCP isteklerine yol açan model istikrarsızlığı
Bir LLM kararsız olduğunda, MCP istemcisinin MCP sunucusuna tutarsız veya düzensiz istekler göndermesine ve işlemleri bozmasına neden olabilir. Örneğin, bir model bir SQL sorgusu oluşturma gibi bir görevi deneyebilir, ancak bir hatayla karşılaşabilir. Durdurmak yerine, arka uçta aşırı trafik üreterek aynı kötü biçimlendirilmiş talimatı tekrar tekrar yeniden kullanır. Bu istikrarsızlık bir hizmet reddi sorununa girebilir. Bunu önlemek için:
- Araç Çağırma Sınırlaması: Oturum veya görev başına sıklık ve miktar sınırları uygulayın.
- Oran Sınırlama: Ağ koşullarına ve ajan etkinliğine göre uyarlanabilir oran sınırlarını kullanın.
- Anında mühendislik: Yapı açık formatlar ve mantık adımları ile istenir.
- Göze çarpan düşünce zincirini (COT) kullanın Modelleri adım adım akıl yürütme yoluyla yönlendirmek için tutarsızlıkları azaltmak.
Unutmayın: Modeller her zaman yanlış olduklarını her zaman bilmiyor, bu nedenle altyapınızın ihtiyacı var.
MCP ortamlarında çalışan aracılar, hesaplamalar, dönüşümler veya iş işlemleri gerçekleştirmek için API’lere erişebilir. Ancak doğru doğrulama olmadan, görev için yanlış aracı kullanmak, çıktıları değiştirmek veya güveni zayıflatmak için kandırılabilirler. Bu riski azaltmak için:
- Sıkı araç erişim doğrulamasını zorunlu kılın ve her çağrıyı doğrulayın.
- Monitör Aracı Kullanımı desenler ve anormallikleri tespit eder.
- Farklı araçlar olmalı Farklı İzin Setleri.
- Her aracın erişimini sınırlayın sadece ihtiyaç duyduğu şeye.
- İçerilen ortamlarda araçları çalıştırın çapraz etkiyi önlemek için.
- Girişleri doğrulayınfonksiyon aralıklarını kısıtlayın ve riskli işlemleri engelleyin.
- Adlandırma çarpışmalarını önleyin ve yetkisiz araçlar arası erişim.
- Takım çağrılarının kapak frekansı ve hacmi.
- Doğru kullanımı sağlamak için belgelerde gerekli türleri, ölçüm birimlerini ve çalışma zamanı doğrulama ekleyin.
T40 – MCP Müşteri Takliti: Kimlik Yönetimi
Dağıtılmış bir ajan ekosisteminde kimlik her şeydir. Kötü niyetli bir aktör geçerli kimlik bilgileri alırsa veya sistem bir aracı kimliğini doğru bir şekilde doğrulayamazsa, ayrıcalıklı araçlara veya verilere erişebilir. Bu riski önlemek için:
- Güçlü kimlik doğrulama çerçeveleri geliştirin: Kimlik tek bir kimlik bilgisinden daha fazlasına bağlı olmalıdır.
- Ajan aktivitesindeki sapmaları tespit etmek için davranışsal profil oluşturma kullanın.
- Zaman içinde uyum sağlayan ve manipülasyona direnen ajan itibar sistemlerini uygulayın.
- PKI KULLANIMI: Aracılar, güvenilir bir CA tarafından verilen dijital sertifikalar aracılığıyla kimlik doğrulaması yapmalıdır.
- Temsilcinin kimliğini sağlamak için özel anahtar sahipliğini doğrulayın.
- Aracı-ajan kimlik doğrulaması ile güvenli iletişim protokolleri kullanın.
- Meydan okumalı ajanlar içerecek şekilde kum havuzu ve politika uygulama uygulamak.
T30 – MCP uygulamasında güvensiz iletişim
JSCON-RPC ve SSE gibi kötü uygulanan iletişim protokolleri, saldırganların geçişte verileri kesmesine, değiştirmesine veya enjekte etmesine izin verebilir. Örneğin, MCP istemcisi ve sunucu arasındaki istek ve yanıtlar şifrelenmemiş HTTP üzerinden gönderilir. Bir saldırgan yanıtları manipüle ederek geçersiz LLM çıkışlarına yol açar. Bu riskin azaltılması şunları içerir:
- HTTPS ve MTLS gibi güvenli iletişim protokollerini kullanın
- MITM saldırılarını önlemek için sertifika mülklerini ve yetkilileri doğrulayın
- MCP ile ilgili tüm iletişimler için şifreleme ve kimlik doğrulama uygulaması
- Olağandışı desenler, yük kurcalama veya enjeksiyon denemeleri için trafiği sürekli olarak izleyin
T4 – Kaynak aşırı yükü
Saldırganlar, AI sistemlerini CPU, bellek veya performansı azaltmak veya hizmet reddine neden olmak için hizmet talepleri ile aşırı yükleyebilir. Örneğin, kötü niyetli bir aktör, 100 kez büyük bir dosya okuma işlemini tetikleyebilir veya veritabanı işlemlerini dondurmak için bir pg_sleep (600) komutu gönderebilir. Bu riski aşağıdakilerle azaltabilirsiniz:
- CPU, bellek ve G/Ç bütçeleri tahsis ederek kaynak yönetimi kontrollerini dağıtın.
- Gerçek zamanlı izleme ile uyarlanabilir ölçeklendirme uygulayın
- AI Oturumu Başına AI Oranı Sınırlama Politikalarını Uygulamak
- Hızlı boyut, görev süresi ve yeniden deneme için katı kotalar ayarlayın
T21 – Servis hesabı maruziyeti
MCP hizmet hesapları, araçlar, günlükler veya dosya erişimi aracılığıyla kimlik bilgisi pozlamasına izin vererek yanlış yapılandırılabilir. Örneğin, ortam değişkenlerini okuyan bir araca bağlı bir LLM, yanlışlıkla AWS kimlik bilgilerini sızdırabilir. Bunu şu şekilde önleyebilirsiniz:
- PII ve Kimlik Doğru Redaksiyonu, özellikle günlüklerden veya ajan çıkışlarından otomatikleştirme
- Rol ve bağlam başına ince taneli erişim kontrolleri kullanın
- Uzlaşma penceresini kısaltmak için kimlik bilgilerini düzenli olarak döndürün
- Kimlik bilgisi paylaşımını veya kazara maruz kalmayı önlemek için korkuluklar uygulayın
- Tüm erişim belirteçleri ve API’ler için en az ayrıcalık ilkesini uygulayın
T22 – Seçici günlük manipülasyonu
Saldırganlar, kötü niyetli aktiviteyi gizlemek veya sistem sistemlerini gürültü ile gizlemek için günlüğe kaydetme davranışını manipüle edebilir. Örneğin, günlük seviyelerini saldırıları gizlemek için hata ayıklama veya izleme, günlük sistemini işe yaramaz olaylarla aşırı yükleyebilir veya yapılandırma manipülasyonu yoluyla günlüğe kaydetme işlevselliğini devre dışı bırakabilirler. Azaltma stratejileri şunları içerir:
- Bütünlüğü sağlamak için günlüklerin kriptografik doğrulamasını uygulayın
- Sıkı erişim kontrolleri ile değişmez günlük depolama alanı kullanın
- Daha derin görünürlük için günlükleri meta verilerle zenginleştirin
- AI ajanlarının tanımlanmayan davranışını açıklayan anomali tespiti
T3 – ayrıcalık uzlaşması
Saldırganlar, yanlış yapılandırma, hızlı enjeksiyon veya erişim mantığının manipülasyonu yoluyla ayrıcalıkları artırabilir. Örneğin, bir istem, LLM’yi saldırgana yönetici ayrıcalıkları atamaya ikna edebilir veya kötü amaçlı bir kullanıcı yönetici grubu ayrıcalıklarını kullanıcı erişim seviyelerine uyacak şekilde düşürebilir. Bunu azaltmak için:
- Tüm katmanlarda granüler erişim kontrollerini uygulayın
- Rol değişikliklerini dinamik olarak doğrulayın ve tüm erişim yüksekliklerini kaydedin
- Önceden önceden çıkmadıkça ajanlar arasında ayrıcalık delegasyonu blok
- Yüksek riskli işlemler için manuel doğrulama uygulayın
- Hızlı enjeksiyon ve ayrıcalık kötüye kullanımı önlemek için katman savunmaları kullanın
T45 – MCP Server izinlerinin yetersiz izolasyonu: Kimlik Yönetimi
Bir MCP sunucusunun ana bilgisayar kaynaklarına veya ağa aşırı erişimi varsa, uzlaşma sistemler arasında artabilir. Örneğin, MCP sunucusundaki savunmasız bir araç, diğer hizmetlerden veya MCP ortamlarından sırlar açığa çıkararak yol geçişine izin verir. Bunu önlemek için:
- Sunucu düzeyinde en az ayrıcalık ilkeleri uygulayın.
- Aracıları ve aletleri kum havuzu ve kaynak sınırları yoluyla izole edin.
- Yükseltme veya yanal hareketi önlemek için çalışma zamanı izleme ve katı erişim uygulama uygulayın.
T47 – Ekosistemde Rogue MCP Sunucusu: Ajan Kimlik Yönetimi
Bir saldırgan, meşru bir tane olarak poz veren kötü amaçlı bir MCP sunucusu kullanabilir. Bu Rogue Server’a bağlanan aracılar daha sonra tehlikeye atılır. Bu, MCP’nin güven modelini hedefleyen ekosistem düzeyinde bir saldırıdır. Bu riski azaltmak için:
- Hizmetler arasında kimlik doğrulaması için merkezi olmayan tanımlayıcılar (DIDS) kullanın.
- Karşılıklı TL’ler ve DID ile imzalanmış mesajlar gibi güvenli kimlik doğrulama protokollerini uygulayın.
- Tekrar saldırılarını önlemek için zaman damgalarıyla kimlik bilgilerini doğrulayın.
- Dinamik aracı özelliklerine uyum sağlayabilen güvenilir bir aracı kayıt defterini koruyun.
Son Düşünceler
Sağlam güvenlik modelleri olmadan, MCP ve çok ajan sistemlerinin esnekliği kırılgan hale gelir. OWASP’nin Tehdit Modelleme Kılavuzu ile uyumlu olarak ve yukarıdaki önerileri izleyerek kuruluşlar, akıllı olduğu kadar güvenli olan AI altyapısı oluşturabilirler.
Riske maruz kalmanızı veya daha güvenli ajan ekosistemlerini oluşturmak için yardıma mı ihtiyacınız var? Bugün bir demo isteyin.