EresusSecurity
Doküman menüsü
BU SAYFADA
TarayıcılarMCP / Ajan Güvenliği

MCP ve Ajan Güvenliği

Sentinel MCP ve ajan kontrolleri araç izinlerini, manifestleri, şemaları, sunucu talimatlarını, ağ erişilebilirliğini ve canlı MCP keşif çıktısını doğrular.

Kısa tanım

Sentinel MCP ve Ajan Güvenliği, otonom AI sistemleri için doğrulama akışıdır. Araç, istem, kaynak, izin, ağ yolu ve MCP taşıma alanlarının uygulama sahibinin istediği güven sınırıyla uyumlu olup olmadığını kontrol eder.

Güven sınırı

Ajan riski, modelin metni aksiyona çevirebildiği yerde oluşur. Sentinel; kullanıcı girdisi, model muhakemesi, araç çağrısı, sunucu çalıştırması ve dış sistem arasındaki sınırı inceler.

Operasyonel kontrol listesi
  • Araç izin listesi ve izin kapsamı
  • MCP sunucu talimatları ve istemleri
  • Kaynak maruziyeti ve kimlik doğrulama üst verisi
  • Ağ çıkışı ve iç servis erişilebilirliği

Şema hijyeni

Araç şeması dokümantasyon değil güvenlik kontrolü olarak ele alınmalıdır. Belirsiz şema modele fazla serbestlik verir ve enjeksiyonun aksiyona dönüşmesini kolaylaştırır.

Operasyonel kontrol listesi
  • Zorunlu alanlar içeren dar JSON şeması kullanın
  • Aksiyon çalışmadan önce sunucu tarafında doğrulayın
  • Serbest komut, yol ve URL argümanlarını izin listesi yoksa reddedin

Canlı MCP keşfi

Canlı sunucu ek araç, istem veya kaynak açabildiği için statik manifest tek başına yeterli değildir. Üretim öncesi HTTP JSON-RPC veya stdio sunucusuna canlı tarama çalıştırın.

Operasyonel kontrol listesi
  • Manifest beklentisini çalışma zamanı yetenekleriyle karşılaştırın
  • Kimlik doğrulama üst verisini ve hazır olma sinyalini kaydedin
  • Beklenmeyen araçları üretim ajanı bağlanmadan engelleyin

OWASP Ajan AI Güvenlik İlk 10 — 2026

OWASP, otonom sistemlerin benzersiz risklerini kapsayan Ajan AI Güvenlik İlk 10 listesini 2026 için yayımladı. Sentinel MCP ve ajan kontrolleri bu listenin birden fazla maddesine doğrudan karşılık gelir.

Operasyonel kontrol listesi
  • ASI01 Bellek Zehirlenmesi — RAG ve bağlam penceresi manipülasyonu, getirme deposu enjeksiyonu
  • ASI02 Araç/Kaynak Kötüye Kullanımı — geniş araç izni, karışık vekil, şema atlatma
  • ASI03 Hedef ve Talimat Uyumsuzluğu — sistem istemi üzerine yazma, çatışan asıl taraflar
  • ASI04 Güvensiz Çok Ajanlı Etkileşim — ajanlar arası güven varsayımları, doğrulanmamış yetki devri
  • ASI05 İnsan Gözetimini Atlatma — onay kapısı olmadan otomatik, geri alınamaz aksiyon
  • ASI06 Hassas Bilgi İfşası — araç çağrısı veya bağlam sızıntısı yoluyla veri dışa aktarımı
  • ASI07 Ayrıcalık Yükseltme — ajanın hedeflenen kapsamın ötesinde kimlik bilgisini yeniden kullanması
  • ASI08 Kontrolsüz Özyineleme — sonsuz döngüye giren ajan, token ve hesaplama tükenmesi
  • ASI09 Yetersiz Günlükleme ve İzleme — çok adımlı ajan aksiyonlarına denetim izi yok
  • ASI10 Güvensiz Sistem Etkileşimi — güvensiz alt süreç, işletim sistemi çağrısı veya kabuk komutu enjeksiyonu

MCP araç zehirlenmesi ve karışık vekil

Invariant Labs, zararlı MCP sunucusunun araç açıklama alanları içine gizli talimatlar gömdüğü MCP araç zehirlenmesini gösterdi. Model bu açıklamaları okurken gömülü saldırgan talimatlarını bağlam olarak işler. Karışık vekil sorunu; yüksek ayrıcalıkla hareket eden ajanın düşük güvenilirlikli girdi adına yeniden yetkilendirme olmadan aksiyon almasıyla ortaya çıkar.

Operasyonel kontrol listesi
  • Araç açıklama zehirlenmesi: JSON şema açıklama alanlarına gizli talimat gömme (Invariant Labs mcp-injection-experiments)
  • Karışık vekil: ajan, asıl tarafın amaçladığından daha yüksek ayrıcalıkla saldırgan kontrollü içerik adına hareket eder
  • MCP-Scan (Invariant Labs): araç zehirlenmesi, şema hijyeni ve sunucu talimat analizi için canlı tarayıcı
  • SlowMist MCP Güvenlik Kontrol Listesi: taşıma, kimlik doğrulama, şema, yetenek ve günlükleme hijyen gereksinimleri
  • mcp-context-protector: üretim MCP dağıtımları için bağlam yalıtım araçları
  • OWASP MCP Güvenlik Kontrol Listesi 2025: yetkilendirme, kapsam, taşıma ve güncelleme yönetimi kontrolleri

Komutlar

sentinel agent ./agent/
sentinel mcp scan ./mcp-manifest.json
sentinel mcp scan --url http://localhost:3000/mcp
sentinel mcp scan --stdio-command npx my-mcp-server

Beklenen çıktı

Çıktı; kural kimliği, öncelik, yüzey, kanıt ve yayın kararını başka ekiplerin de anlayacağı şekilde taşımalıdır.

server: local-mcp
tools_discovered: 12
findings:
  - MANIFEST-OVERBROAD-TOOLS HIGH file_write grants project root
  - NET-PRIVATE-RANGE-EGRESS MEDIUM tool can call internal network range

Sık sorular

Aşırı yetki nedir?

Modelin kullanım senaryosu için gerekenden fazla araç, izin, ağ erişimi veya aksiyon yetkisi alması aşırı yetkidir.

Bulgu ne içermeli?

MCP sunucusu, araç adı, şema veya izin alanı, gözlenen yetenek, sorumlu ve yeniden test komutu yer almalıdır.

MCP araç zehirlenmesi nedir?

Araç zehirlenmesinde saldırgan MCP araç açıklama alanlarına gizli talimatlar yerleştirir. Model araç seçimi sırasında bunları bağlam olarak işler; bu sayede görünür kullanıcı arayüzünü değiştirmeden model davranışını yönlendirebilir. Savunma yöntemleri şema doğrulaması, açıklama izin listesi, sunucu kimlik doğrulaması ve üretim ajanı bağlanmadan önce canlı tarama yapılmasını içerir.

Kaynaklar

Eresus desteği

Bulguyu rapora değil, kapatılabilir aksiyona çevirin.

MCP ve Ajan Güvenliği için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.

Güvenlik Testi Başlat
ÖncekiTedarik Zinciri / AIBOMSonrakiRuntime Gateway