Config Validator
Prompt, retrieval, MCP server, environment secret ve AI deployment varsayılanları etrafında yapılandırma hijyeni için kaynak sayfası.
Güvenli özellikleri istismar edilebilir yollara çeviren yanlış yapılandırmalar.
Operasyonel göründüğü için güvenlik açısından kritik olmayan değişiklik gibi kaçan config ayarları.
Güvenilmeyen MCP veya ajan config’lerinin doğrudan komut ya da erişim yoluna dönüşmesi.
Kimler İçin
AI yapılandırma pratiklerini standartlaştıran platform ekipleri.
Deployment varsayılanları ve config drift’i denetleyen güvenlik ekipleri.
Hızla değişen MCP ve ajan ekosistemi yapılandırmalarıyla uğraşan ekipler.
Kullanım Alanları
Prompt, tool config, MCP registration ve secret maruziyetindeki güvensiz varsayılanları haritalayın.
Değişen AI ve ajan yapılandırmaları için inceleme checklist’leri oluşturun.
Yüksek değişim hızına sahip ortamlarda sessiz config drift’i azaltın.
İlgili Advisory İçerikleri
MCPHub Sunucu Kaydında Kimlik Doğrulamasız Uzaktan Kod Çalıştırma
MCPHub accepts attacker-controlled command and args values during server registration and spawns them through STDIO, enabling full remote code execution on the host.
MCPHub skipAuth Konfigürasyonu ile Kimlik Doğrulama Atlatma
When skipAuth is enabled, MCPHub bypasses both authentication and admin authorization checks, allowing any unauthenticated user to access privileged API functionality.
Sık Sorulan Sorular
Bu kaynak sadece MCP ile mi ilgili?
Hayır. MCP önemli bir örnek ama kaynak daha geniştir ve genel AI/ajan yapılandırma hijyenini kapsar.
Neden yapılandırmayı ayrı bir kaynak haline getiriyorsunuz?
Çünkü birçok AI olayı modelin tekil bug’ından değil, varsayılanlar, wiring ve politika boşluklarından kaynaklanır.
Bu saldırı yüzeyini birlikte doğrulayalım mı?
Bu iş akışı için kapsam, tehdit modelleme ve remediation öncelikleri üzerine Eresus Security ile görüşün.
Eresus ile Görüş