Zabezpečení MCP 2.0: Tři otázky, které si musí položit každý CISO před nasazením AI agentů

Perspektiva

Vernell, Principal Security and AI Intelligence v Commvault, přináší mistrovskou lekci o zabezpečení podnikových nasazení AI agentů. Zatímco většina diskuzí o MCP se zaměřuje na schopnosti, tato konverzace řeší, co se stane, když věci selžou — a jak nová specifikace 2.0 mění bezpečnostní rovnici.

O vývoji z MCP 1.x na 2.0: Tento posun představuje zásadní změnu filozofie. "1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models." (1.x bylo o tom, abychom začali používat AI. Druhý krok je skutečné zabezpečení těchto modelů.) Nejde o postupné zlepšování — jde o to, že průmysl uznává, že adopce bez zabezpečení vytváří nepřijatelné riziko.

Tři zásadní změny v MCP 2.0: Za prvé, podpora OAuth přináší to, co Vernell nazývá "Active Directory pro internet" — konečně umožňuje podnikům přiřazovat oprávnění a privilegia kryptografickým klíčům. Za druhé, strukturovaná schémata fungují jako parametrizované SQL dotazy a vytvářejí whitelisty, které přesně definují, jaké akce mohou nástroje provádět. "These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore." (Tyto struktury umožňují přesně definovat, jaké akce může nástroj provádět, a cokoliv jiného prostě ignoruje.) Za třetí, elicitační tok zavádí body pro lidský dohled.

O přetrvávajících mezerách: I s verzí 2.0 podniky nemohou kryptograficky ověřit, že MCP server je legitimní. "Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with." (Existují klony a kopie, nástroje se upravují, nástroje se přidávají a dnes nemáme způsob, jak kryptograficky ověřit, že komunikujeme s naším původním MCP serverem.) To je významný problém důvěry, který nebude vyřešen pouze aktualizacemi protokolu.

Rámec tří otázek pro hodnocení rizik: Vernellův praktický přístup prořezává složitost: (1) Jaké oprávnění má můj agent? Pouze čtení s guardrails je nízké riziko; schopnosti mazat/upravovat/přesouvat vyžadují uzamčení. (2) Jak velký je rozsah dopadu? Jeden uživatel, celá aplikace, nebo laterální pohyb napříč podnikem? (3) Jak vratná je akce? Čtení informací versus jejich mazání mění vše.

O budoucím směřování a viditelnosti: "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party." (Strávili jsme 20 let snahou o zabezpečení vývoje softwaru. A AI nedostane zkratku jen proto, že je nová na scéně.) Zaměření do budoucna bude na runtime viditelnost, audit logy a compliance — podniky musí být schopny prokázat, že jejich AI agenti fungovali správně, zejména když dojde k útokům na dodavatelský řetězec.

Klíčové poznatky

• MCP 2.0 je zaměřený na bezpečnost - Na rozdíl od 1.x, který se soustředil na adopci, verze 2.0 zavádí OAuth, strukturovaná schémata a elicitační toky speciálně pro zabezpečení nasazení AI agentů
• Důvěra k serveru zůstává nevyřešena - Neexistuje kryptografický způsob ověření legitimity MCP serverů; organizace musí nezávisle implementovat síťovou izolaci a podepisování nástrojů
• Tři otázky pro hodnocení rizik - Úroveň oprávnění, rozsah dopadu a vratnost akcí tvoří jednoduchý, ale efektivní rámec pro hodnocení jakéhokoli nasazení AI agentů
• Člověk ve smyčce je nezbytný - Akce s vysokým dopadem by měly spouštět schvalovací workflow; elicitační tok umožňuje body pozastavení, které dříve neexistovaly
• Runtime viditelnost je kritická - Podniky potřebují smysluplné audit logy, které mohou prokázat compliance a obránit se proti obviněním z útoků na dodavatelský řetězec
• Očekávejte více bezpečnostních vendorů - Podobně jako u vývoje cloudového zabezpečení se objeví nástroje třetích stran, které posílí nativní bezpečnostní schopnosti AI agentů

Celkový obraz

MCP 2.0 představuje první seriózní pokus průmyslu o zabezpečení AI agentů v produkci, ale je to teprve začátek. Pro organizace nasazující agenty, kteří mohou provádět skutečné akce — upravovat soubory, přesouvat data, interagovat se systémy — protokol poskytuje zábrany, ne záruky. Praktické poučení: přistupujte k zabezpečení AI agentů stejně jako ke cloudovému zabezpečení před deseti lety a počítejte s rozpočtem na specializované nástroje, které budou nevyhnutelně potřeba.