EresusSecurity
Araştırmalara Dön
AI Security

MCP Agent Runtime Riskleri: Tool Çağrıları Nasıl Saldırı Yüzeyine Dönüşür?

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
27 Nisan 2026
4 dk okuma
ResearchAI Security

MCP agent runtime riskleri, AI agentin harici veya dahili tool sunucularıyla konuşurken doğar. MCP agentlere güçlü yetenek kazandırır; ancak her tool sunucusu yeni bir güven sınırı, yeni bir kimlik bağlamı ve yeni bir saldırı yüzeyi demektir. Risk sadece prompt injection değildir. Tool izinleri, server doğrulaması, command execution, dosya erişimi, network erişimi, logging ve onay akışı birlikte test edilmelidir.

Temel Değerlendirme

MCP güvenliği, agentin hangi MCP server’a bağlandığını, hangi tool’ları çağırdığını, bu çağrıların hangi yetkiyle çalıştığını ve kritik aksiyonların nasıl sınırlandığını doğrulama işidir. MCP entegrasyonu varsa AI güvenlik testi runtime davranışını mutlaka kapsamalıdır.

MCP Neden Farklı Bir Risk Alanı?

MCP, agentlere standart bir tool bağlantı modeli sağlar.

Bu iyi bir mimari kolaylıktır.

Ama saldırgan açısından şu anlama gelir:

  • Agent daha fazla sisteme erişir.
  • Tool listesi genişler.
  • Güven sınırı model dışına taşar.
  • Yanlış yapılandırılmış server kritik yetki alabilir.
  • Agentin karar zinciri gerçek aksiyonla birleşir.

Bu yüzden MCP, yalnızca developer productivity konusu değildir.

Kurumsal güvenlik konusu haline gelir.

Temel Risk Alanları

Fazla Geniş Tool Yetkisi

MCP server birden fazla tool sunuyorsa agent gereğinden fazla aksiyon alabilir.

Read-only olması gereken akışta write tool açık kalabilir.

Server Güveninin Varsayılması

Her MCP server güvenilir kabul edilmemelidir.

Server’ın kimden geldiği, nasıl güncellendiği, hangi ortamda çalıştığı ve hangi network erişimine sahip olduğu incelenmelidir.

Command Execution ve Dosya Erişimi

Bazı tool’lar komut çalıştırma, dosya okuma/yazma veya repository erişimi sağlar.

Bu yetenekler kontrolsüz bırakılırsa agent manipülasyonu sistem erişimine dönüşebilir.

Retrieval ve Memory Etkisi

MCP tool çıktıları agent kararını etkiler.

Tool çıktısı manipüle edilirse agent yanlış veriyle doğru görünümlü aksiyon alabilir.

MCP Risk Checklist

  • MCP server listesi envanterde mi?
  • Her server’ın sahibi ve güncelleme kaynağı belli mi?
  • Tool bazlı izin matrisi var mı?
  • Write/delete/deploy aksiyonları onay istiyor mu?
  • Agent token’ı en düşük yetkiyle mi çalışıyor?
  • Tool parametreleri doğrulanıyor mu?
  • Network erişimi sınırlandırılmış mı?
  • Tool çağrıları oturum ve kullanıcı bağlamıyla loglanıyor mu?
  • Incident halinde server devre dışı bırakılabiliyor mu?

Pratik Örnek

Bir geliştirici agenti düşünün.

MCP üzerinden repository okuyabiliyor, test çalıştırabiliyor ve issue açabiliyor.

Eğer aynı agent dosya yazma ve shell çalıştırma tool’una da erişiyorsa, prompt injection veya zararlı issue içeriği agenti beklenmeyen komut çalıştırmaya yönlendirebilir.

Burada güvenlik kontrolü prompt filtresi değil; tool permission, working directory sınırı, shell allowlist, approval ve loglamadır.

Yanlış Bilinenler

“MCP standart olduğu için güvenlidir”

Standart bağlantı modeli güvenlik garantisi değildir.

Güvenlik, server implementasyonu ve izin modelinde kurulur.

“Tool local çalışıyor, dış risk yok”

Local çalışan tool geliştirici makinesindeki dosyalara, token’lara ve repositorylere erişebilir.

Bu yüzden local risk de kurumsal risktir.

“Sadece güvenilir server kullanıyoruz”

Güvenilir server bile yanlış scope, zayıf update akışı veya fazla geniş network erişimiyle risk oluşturabilir.

Profesyonel Destek Eşiği

MCP kullanan agent üretim verisine, geliştirici ortamına, repositorylere, müşteri sistemlerine veya internal API’lere erişiyorsa runtime security review yapılmalıdır.

Eresus Security, MCP agent akışlarında tool permission matrix, server trust review, prompt-to-tool abuse testleri ve incident readiness kontrolleriyle gerçek saldırı yolunu kanıtlar.

SSS

MCP güvenliği sadece server zafiyeti midir?

Hayır. Server zafiyeti önemlidir ama runtime izinleri, tool çağrıları, veri akışı ve agent karar zinciri de aynı derecede kritiktir.

MCP agentlerde en kritik kontrol nedir?

En düşük yetkiyle tool erişimi ve kritik aksiyonlar için onay mekanizmasıdır. Bunlar olmadan küçük bir manipülasyon gerçek aksiyona dönüşebilir.

Test nasıl başlamalı?

Önce agent, MCP server, tool, token ve veri kaynağı envanteri çıkarılmalıdır. Ardından prompt-to-tool kötüye kullanım senaryoları test edilmelidir.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

İlgili Araştırmalar

AI Security

AI Agent Runtime Security Nedir?

AI agent runtime security, agentlerin production sırasında tool, memory, retrieval ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.

AI Security

Agent Tool Permission Security: AI Agentlerde Yetki Sınırı Nasıl Kurulur?

AI agentlerde tool permission güvenliği; agentin hangi API, dosya, veri ve aksiyona hangi koşulda erişebileceğini en düşük yetkiyle sınırlar.