Bezpečnosť MCP 2.0: Tri otázky, ktoré si musí položiť každý CISO pred nasadením AI agentov

Pohľad

Vernell, Principal Security and AI Intelligence v spoločnosti Commvault, poskytuje majstrovskú lekciu o zabezpečení podnikových nasadení AI agentov. Zatiaľ čo väčšina diskusií o MCP sa zameriava na schopnosti, táto konverzácia rieši, čo sa stane, keď veci zlyhajú—a ako nová špecifikácia 2.0 mení bezpečnostné výpočty.

O evolúcii z MCP 1.x na 2.0: Tento posun predstavuje zásadnú zmenu vo filozofii. "1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models." (1.x bola naozaj o tom, aby nás a našu technológiu pripravila na používanie AI. Druhý krok je skutočne o zabezpečení týchto modelov.) Nejde o postupné zlepšovanie—je to uznanie odvetvia, že adopcia bez bezpečnosti vytvára neprijateľné riziko.

Tri základné zmeny v MCP 2.0: Po prvé, podpora OAuth prináša to, čo Vernell nazýva „Active Directory pre internet"—konečne umožňuje podnikom priraďovať povolenia a privilégiá ku kryptografickým kľúčom. Po druhé, štruktúrované schémy fungujú ako parametrizované SQL dotazy, vytvárajúc whitelisty, ktoré presne definujú, aké akcie môžu nástroje vykonávať. "These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore." (Tieto štruktúry vám umožňujú presne definovať, aké akcie je nástroj schopný vykonať, a všetko ostatné jednoducho ignoruje.) Po tretie, elicitačný tok zavádza body pre ľudský dohľad.

O zostávajúcich medzerách: Aj s verziou 2.0 podniky nemôžu kryptograficky overiť, že MCP server je legitímny. "Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with." (Klony a kópie existujú, nástroje sa modifikujú, nástroje sa pridávajú a dnes nemáme žiadny spôsob, ako kryptograficky overiť, že toto je náš pôvodný MCP server, s ktorým komunikujeme.) Toto je významný problém dôvery, ktorý sa nevyrieši len aktualizáciami protokolu.

Trojotázkový rámec pre hodnotenie rizík: Vernellov praktický prístup prerezáva komplexnosť: (1) Aké oprávnenia má môj agent? Len na čítanie so zárukami je nízke riziko; schopnosti ničiť/upravovať/presúvať potrebujú uzamknutie. (2) Aký veľký je rozsah dopadu? Jeden používateľ, celá aplikácia, alebo laterálny pohyb naprieč podnikom? (3) Aká reverzibilná je akcia? Čítanie informácií verzus ich mazanie mení všetko.

O budúcom smerovaní a viditeľnosti: "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party." (Strávili sme 20 rokov snahou zabezpečiť, ako sa softvér vyvíja bezpečne. A AI nedostane skratku len preto, že je nová na scéne.) Zameranie smerom dopredu bude na runtime viditeľnosť, audit logy a súlad s predpismi—podniky potrebujú dokázať, že ich AI agenti fungovali správne, najmä keď dôjde k útokom na dodávateľský reťazec.

Kľúčové poznatky

• MCP 2.0 je zameraný na bezpečnosť - Na rozdiel od 1.x, ktorá sa zameriavala na adopciu, 2.0 zavádza OAuth, štruktúrované schémy a elicitačné toky špecificky na zabezpečenie nasadení AI agentov
• Dôvera k serverom zostáva nevyriešená - Neexistuje kryptografický spôsob overenia, že MCP servery sú legitímne; organizácie musia nezávisle implementovať sieťovú izoláciu a podpisovanie nástrojov
• Tri otázky pre hodnotenie rizík - Úroveň oprávnení, rozsah dopadu a reverzibilita akcií tvoria jednoduchý, ale efektívny rámec pre hodnotenie akéhokoľvek nasadenia AI agentov
• Človek v slučke je nevyhnutný - Vysokorizikové akcie by mali spúšťať schvaľovacie procesy; elicitačný tok umožňuje body pozastavenia, ktoré predtým neexistovali
• Runtime viditeľnosť je kritická - Podniky potrebujú zmysluplné audit logy, ktoré dokážu preukázať súlad a brániť sa proti obvineniam z útokov na dodávateľský reťazec
• Očakávajte viac bezpečnostných dodávateľov - Podobne ako pri evolúcii cloudovej bezpečnosti, objavia sa nástroje tretích strán na posilnenie natívnych bezpečnostných schopností AI agentov

Celkový obraz

MCP 2.0 predstavuje prvý seriózny pokus odvetvia o zabezpečenie AI agentov v produkcii, ale je to len začiatok. Pre organizácie nasadzujúce agentov, ktorí môžu vykonávať reálne akcie—upravovať súbory, presúvať dáta, interagovať so systémami—protokol poskytuje záruky, nie garancie. Praktický záver: pristupujte k bezpečnosti AI agentov tak, ako ste pred desiatimi rokmi pristupovali k cloudovej bezpečnosti, a počítajte so špecializovanými nástrojmi, ktoré budú nevyhnutne potrebné.