EresusSecurity
Doküman menüsü
BU SAYFADA
TarayıcılarMCP / Ajan Güvenliği

MCP ve Ajan Güvenliği

Sentinel MCP ve ajan kontrolleri araç izinlerini, manifestleri, şemaları, sunucu talimatlarını, ağ erişilebilirliğini ve canlı MCP keşif çıktısını doğrular.

Kısa tanım

Sentinel MCP ve Ajan Güvenliği, otonom AI sistemleri için doğrulama akışıdır. Araç, istem, kaynak, izin, ağ yolu ve MCP taşıma alanlarının uygulama sahibinin istediği güven sınırıyla uyumlu olup olmadığını kontrol eder.

Güven sınırı

Ajan riski, modelin metni aksiyona çevirebildiği yerde oluşur. Sentinel; kullanıcı girdisi, model muhakemesi, araç çağrısı, sunucu çalıştırması ve dış sistem arasındaki sınırı inceler.

Operasyonel kontrol listesi
  • Araç izin listesi ve izin kapsamı
  • MCP sunucu talimatları ve istemleri
  • Kaynak maruziyeti ve kimlik doğrulama üst verisi
  • Ağ çıkışı ve iç servis erişilebilirliği

Şema hijyeni

Araç şeması dokümantasyon değil güvenlik kontrolü olarak ele alınmalıdır. Belirsiz şema modele fazla serbestlik verir ve enjeksiyonun aksiyona dönüşmesini kolaylaştırır.

Operasyonel kontrol listesi
  • Zorunlu alanlar içeren dar JSON şeması kullanın
  • Aksiyon çalışmadan önce sunucu tarafında doğrulayın
  • Serbest komut, yol ve URL argümanlarını izin listesi yoksa reddedin

Canlı MCP keşfi

Canlı sunucu ek araç, istem veya kaynak açabildiği için statik manifest tek başına yeterli değildir. Üretim öncesi HTTP JSON-RPC veya stdio sunucusuna canlı tarama çalıştırın.

Operasyonel kontrol listesi
  • Manifest beklentisini çalışma zamanı yetenekleriyle karşılaştırın
  • Kimlik doğrulama üst verisini ve hazır olma sinyalini kaydedin
  • Beklenmeyen araçları üretim ajanı bağlanmadan engelleyin

OWASP Top 10 for Agentic Applications 2026

OWASP Top 10 for Agentic Applications 2026; yapay zeka sistemleri plan yaptığında, araç çağırdığında, bellek tuttuğunda, ajanlar arası mesajlaştığında ve çok adımlı aksiyon aldığında ortaya çıkan riskleri kapsar. Sentinel MCP ve ajan kontrolleri, uygulama ekibinin yayın öncesi doğrulayabileceği alanlar için kanıt üretir.

Operasyonel kontrol listesi
  • ASI01 Agent Goal Hijack — saldırgan kontrollü içerik, ajanın hedefini veya aksiyon yolunu değiştirir
  • ASI02 Tool Misuse and Exploitation — meşru araçlar güvensiz veya amaç dışı kullanılır
  • ASI03 Identity and Privilege Abuse — ajan kimliği ya da devralınan izinler beklenen kapsamı aşar
  • ASI04 Agentic Supply Chain Vulnerabilities — araçlar, MCP sunucuları, istemler veya bağımlılıklar zehirlenir ya da değiştirilir
  • ASI05 Unexpected Code Execution — doğal dil veya yapılandırma yolları çalıştırılabilir koda ulaşır
  • ASI06 Memory and Context Poisoning — kalıcı bellek, RAG verisi veya bağlam sonraki davranışı bozar
  • ASI07 Insecure Inter-Agent Communication — ajan, başka ajandan gelen mesajı veya görevi doğrulamadan kabul eder
  • ASI08 Cascading Failures — tek güvensiz aksiyon bağlı iş akışlarına yayılır
  • ASI09 Human-Agent Trust Exploitation — ikna edici ajan çıktısı insanı zararlı aksiyonu onaylamaya iter
  • ASI10 Rogue Agents — ajan beklenen sınırların dışına çıkar veya güvensiz davranışı gizler

MCP araç zehirlenmesi ve karışık vekil

MCP araç zehirlenmesi, zararlı veya ele geçirilmiş bir MCP sunucusunun araç açıklama alanlarına gizli talimat yerleştirmesiyle oluşur. Model bu açıklamaları okurken saldırgan talimatlarını güvenilir bağlam gibi işleyebilir. Karışık vekil sorunu ise yüksek ayrıcalıkla hareket eden ajanın düşük güvenilirlikli girdi adına yeniden yetkilendirme olmadan aksiyon almasıyla ortaya çıkar.

Operasyonel kontrol listesi
  • Araç açıklama zehirlenmesi: JSON şema açıklama alanlarına gizli talimat gömme
  • Karışık vekil: ajan, asıl tarafın amaçladığından daha yüksek ayrıcalıkla saldırgan kontrollü içerik adına hareket eder
  • Canlı yetenek incelemesi: keşfedilen araç, istem, kaynak, şema ve taşıma bilgisini onaylı manifestle karşılaştırın
  • Taşıma ve kimlik doğrulama hijyeni: kimliksiz veya aşırı geniş MCP bağlantılarını reddedin
  • Bağlam yalıtımı: getirilen içerik, araç açıklaması, kullanıcı metni ve ayrıcalıklı talimatları ayrı tutun
  • Güncelleme yönetimi: güvenilen sunucuları sabitleyin ve yetenek değişimini üretim ajanı bağlanmadan inceleyin

Komutlar

sentinel agent ./agent/
sentinel mcp scan ./mcp-manifest.json
sentinel mcp scan --url http://localhost:3000/mcp
sentinel mcp scan --stdio-command npx my-mcp-server

Beklenen çıktı

Çıktı; kural kimliği, öncelik, yüzey, kanıt ve yayın kararını başka ekiplerin de anlayacağı şekilde taşımalıdır.

server: local-mcp
tools_discovered: 12
findings:
  - MANIFEST-OVERBROAD-TOOLS HIGH file_write grants project root
  - NET-PRIVATE-RANGE-EGRESS MEDIUM tool can call internal network range

Sık sorular

Aşırı yetki nedir?

Modelin kullanım senaryosu için gerekenden fazla araç, izin, ağ erişimi veya aksiyon yetkisi alması aşırı yetkidir.

Bulgu ne içermeli?

MCP sunucusu, araç adı, şema veya izin alanı, gözlenen yetenek, sorumlu ve yeniden test komutu yer almalıdır.

MCP araç zehirlenmesi nedir?

Araç zehirlenmesinde saldırgan MCP araç açıklama alanlarına gizli talimatlar yerleştirir. Model araç seçimi sırasında bunları bağlam olarak işler; bu sayede görünür kullanıcı arayüzünü değiştirmeden model davranışını yönlendirebilir. Savunma yöntemleri şema doğrulaması, açıklama izin listesi, sunucu kimlik doğrulaması ve üretim ajanı bağlanmadan önce canlı tarama yapılmasını içerir.

Eresus desteği

Bulguyu rapora değil, kapatılabilir aksiyona çevirin.

MCP ve Ajan Güvenliği için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.

Güvenlik Testi Başlat
ÖncekiTedarik Zinciri / AIBOMSonrakiRuntime Gateway