Stellen Sie sich vor, Sie haben mühevoll ein hochentwickeltes KI-Großmodell trainiert, das Ihnen bei der Bewältigung komplexer Aufgaben hilft. Aber wenn die „Pipeline“ zu diesem intelligenten Gehirn – das Modell-Kontext-Protokoll (MCP) – nicht sicher ist, bieten Sie Hackern nicht gerade eine willkommene Gelegenheit? Keine Sorge! Die von den Blockchain-Sicherheitsexperten von SlowMist (慢雾科技) entwickelte MCP-Sicherheitscheckliste ist wie ein professionelles „KI-Schutzschild“. Sie bietet eine umfassende Sicherheitsanleitung für auf MCP basierende KI-Tools und soll Ihr LLM-Plugin-Ökosystem vor verschiedenen potenziellen Bedrohungen schützen.

QQ_1745201991279.png

Seit der Veröffentlichung von MCP Ende 2024 wird es in gängigen KI-Anwendungen wie Claude Desktop und Cursor eingesetzt, und verschiedene MCP-Servicemärkte blühen auf. Wie bei jeder neuen Technologie bringt die schnelle Verbreitung von MCP jedoch neue Sicherheitsherausforderungen mit sich.

Die MCP-Sicherheitscheckliste ist vor diesem Hintergrund entstanden. Sie ist kein kaltes Werkzeug, sondern ein erfahrener Sicherheitsexperte, der systematisch die verschiedenen Risikopunkte untersucht, die bei der Interaktion der drei Hauptkomponenten der MCP-Architektur – Host (Host), Client (Client) und Server (Server) – auftreten können. Ob es sich um sensible Kryptowährungstransaktionen oder um in LLM integrierte benutzerdefinierte Plugins handelt, diese Liste hilft Entwicklern, potenzielle Sicherheitslücken proaktiv zu identifizieren und zu verhindern.

Durch die Umsetzung der Sicherheitsmaßnahmen in dieser Liste werden die Gesamtstabilität und Kontrollierbarkeit Ihres MCP-Systems deutlich verbessert, um sicherzustellen, dass die Sicherheit und Entwicklung von KI-Anwendungen Hand in Hand gehen.

✨ Kernfunktionen

Diese MCP-Sicherheitscheckliste ist wie ein sorgfältiger Sicherheitsverwalter, der die Sicherheit des MCP-Systems aus verschiedenen Blickwinkeln eingehend betrachtet. Die wichtigsten Kernfunktionen lassen sich wie folgt zusammenfassen:

  • Umfassender Schutz der API-Sicherheit:
    • Strenge Eingabevalidierung: Wie bei der gründlichen Überprüfung jedes Gastes, der Ihr Haus betritt, wird verhindert, dass bösartiger Code über die API-Eingabe eindringt.
    • API-Ratenbegrenzung: Begrenzung des Datenverkehrs für die API, um zu verhindern, dass sie durch böswillige Anfragen überlastet wird und zu einem Systemausfall (DoS-Angriff) führt.
    • Ausgabekodierung: Sicherstellung, dass die von der API ausgegebenen Daten ordnungsgemäß verarbeitet werden, um potenzielle Risiken wie Cross-Site-Scripting-Angriffe zu vermeiden.
  • Robuste Serverauthentifizierung und Autorisierungsmechanismen:
    • Feingranulare Zugriffskontrolle: Ähnlich wie bei einem Unternehmens-Berechtigungssystem können verschiedene Rollen nur auf Ressourcen in ihrem Verantwortungsbereich zugreifen und das Prinzip der geringsten Rechte einhalten.
    • Sicheres Credential-Management: Schluss mit hartcodierten Schlüsseln! Lernen Sie, wie Sie Service-Anmeldeinformationen sicher speichern und verwalten und Schlüsselverwaltungsdienste nutzen.
    • API-Schlüsselrotation: Regelmäßiges Ändern von API-Schlüsseln, ähnlich wie das regelmäßige Auswechseln von Türschlössern, um das Risiko nach einem Schlüsselverlust zu verringern.
    • Service-Identitätsprüfung: Ermöglicht es dem Tool, die Identität des Servers zu überprüfen und sicherzustellen, dass es sich bei der Verbindung um einen vertrauenswürdigen Dienst handelt.
  • Strenge Steuerung der persistenten Speicherung im Hintergrund:
    • Lebenszyklusverwaltung: Ähnlich wie bei der Verwaltung der Installation und Deinstallation von Software wird der Lebenszyklus von MCP-Plugins streng verwaltet und mit dem Client abgestimmt.
    • Zwangsbeenden und Bereinigung: Wenn der Client geschlossen wird, wird sichergestellt, dass alle MCP-Hintergrundprozesse vollständig bereinigt werden, ohne dass etwas zurückbleibt.
    • Gesundheitsüberprüfungsmechanismus: Regelmäßige Überprüfung des Status von MCP-Plugins, um ungewöhnliches persistentes Verhalten rechtzeitig zu erkennen.
    • Überwachung und Begrenzung von Hintergrundaktivitäten: Überwachung und Protokollierung aller Aktivitäten im MCP-Hintergrund und Begrenzung der Aktionen und Dauer.
  • Zuverlässige Sicherheit bei der Bereitstellung und Ausführung:
    • Isolierte Umgebung: Es wird dringend empfohlen, den Server in einer isolierten Umgebung (z. B. Container, virtuelle Maschine oder Sandbox) auszuführen, um zu verhindern, dass bösartiger Code entkommt und sich lateral bewegt.
    • Containersicherheit: Bei Verwendung von Containern muss eine sichere Konfiguration erfolgen, z. B. die Ausführung von Containern als Nicht-Root-Benutzer, die Verwendung einer unveränderlichen Infrastruktur und der Schutz während der Laufzeit.
    • Ressourcenbeschränkungen: Festlegung eines Obergrenze für die Ressourcennutzung durch MCP-Plugins, um einen unendlichen Kreislauf oder übermäßige Aufrufe aufgrund von Fehlern im Großmodell zu verhindern.
  • Umfassende Gewährleistung der Code- und Datenintegrität:
    • Integritätsprüfmechanismus: Verwendung digitaler Signaturen, Prüfsummen usw., um sicherzustellen, dass der Code nicht manipuliert wurde.
    • Fernprüfung: Unterstützung von Mechanismen zur Fernprüfung der Code-Integrität zur Erhöhung der Sicherheit.
    • Code-Verschleierung und -Härtung: Erhöhung der Schwierigkeit des Reverse Engineerings des Codes.
  • Sorgfältige Verwaltung der Lieferketten-Sicherheit:
    • Abhängigkeitsverwaltung: Sicheres Verwalten von Drittanbieterabhängigkeiten.
    • Integrität und Quellenprüfung von Paketen: Sicherstellung, dass die referenzierten Softwarepakete vollständig und vertrauenswürdig sind.
    • Sicherer Build: Sicherstellung, dass der Software-Build-Prozess sicher ist.
  • Umfassende Überwachung und Protokollierung:
    • Anomalieerkennung und -warnung: Rechtzeitiges Erkennen und Melden ungewöhnlicher Aktivitäten.
    • Detaillierte Protokollierung: Protokollierung aller Serviceaktivitäten und Sicherheitsereignisse sowie zentrale Verwaltung, um die Integrität der Protokolle zu gewährleisten und Audit-Fähigkeiten bereitzustellen.
  • Strenge Isolation der Aufrufumgebung:
    • MCP-Instanzisolation: Sicherstellung, dass die Aktionen mehrerer MCP-Serverinstanzen voneinander isoliert sind.
    • Ressourcenzugriffskontrolle: Klare Definition der Grenzen des Ressourcenzugriffs für jeden MCP-Server.
    • Trennung der Werkzeugberechtigungen: Festlegung verschiedener Berechtigungssätze für Tools in verschiedenen Bereichen.
  • Breit gefächerte Plattformkompatibilität und -sicherheit:
    • Systemressourcenisolation: Implementierung geeigneter Ressourcenisolationsstrategien basierend auf den Eigenschaften verschiedener Betriebssysteme.
    • Kompatibilitätstests für verschiedene Plattformen: Testen des sicheren Verhaltens des MCP-Servers auf verschiedenen Betriebssystemen und Clients, um sicherzustellen, dass es konsistent ist.
    • Plattformspezifische Risikobewertung: Bewertung der plattformspezifischen Sicherheitsrisiken und Ergreifen von Maßnahmen zur Risikominderung.
  • Wichtigkeit von Daten-Sicherheit und Datenschutz:
    • Datenminimierung: Nur die notwendigen Daten sammeln und verarbeiten.
    • Datenverschlüsselung und -isolation: Verschlüsselte Speicherung und Übertragung sensibler Daten sowie Sicherstellung der Isolation der Daten verschiedener Benutzer.
    • Erkennung und Verarbeitung sensibler Daten: Automatische Erkennung und spezielle Verarbeitung sensibler Daten.
  • Feingranulare Steuerung der Ressourcen- und Werkzeug-Sicherheit: Es werden detaillierte Sicherheitsanforderungen für den Zugriff auf Ressourcen, die Größe, die Vorlagenparameter sowie die Codierungspraktiken, die Ausführungsumgebung, die Eingabe- und Ausgabeprüfung, die Zugriffskontrolle und die Verhaltensbeschränkungen von Tools gestellt.
  • Benutzerinteraktionssicherheit:
    • Klare Benutzeroberfläche: Die Benutzeroberfläche sollte den Umfang und die potenziellen Auswirkungen von KI-Operationen klar darstellen und intuitive Sicherheitsindikatoren bereitstellen.
    • Bestätigung sensibler Operationen: Operationen mit hohem Risiko müssen vom Benutzer eindeutig bestätigt werden.
    • Transparente Berechtigungsanforderungen: Berechtigungsanforderungen sollten ihren Zweck und Umfang klar erläutern, um übermäßige Berechtigungen zu vermeiden.
    • Visualisierung von Operationen und Informationstransparenz: Tool-Aufrufe und Datenzugriffe sollten sichtbar und überprüfbar sein, wobei Benutzer auswählen können, ob sie ausgeblendete Tags anzeigen möchten, um die Kontextkonsistenz zu gewährleisten.
  • KI-Steuerung und -Überwachung: Protokollierung wichtiger KI-Operationen, Erkennung ungewöhnlicher Muster, Begrenzung der Häufigkeit und Anzahl von Tool-Aufrufen.
  • Lokale Speichersicherheit: Sichere Speicherung von Anmeldeinformationen, Isolation sensibler Benutzerdaten.
  • Anwendungssicherheit und Client-Authentifizierung und -Autorisierung: Überprüfung der Anwendungsintegrität, zwingende Authentifizierung, sichere Implementierung von Protokollen wie OAuth.
  • MCP-Tool- und Serververwaltung: Überprüfung der Authentizität und Integrität von Tools, sichere Updates, Vermeidung von Namenskonflikten und böswilligen Handlungen, Pflege eines vertrauenswürdigen Serververzeichnisses, Implementierung der Versionskontrolle usw.
  • Robuste Prompt-Sicherheitsmechanismen:
    • Prompt-Injection-Abwehr: Implementierung mehrschichtiger Abwehrmaßnahmen zur Verhinderung von Prompt-Injection-Angriffen.
    • Erkennung bösartiger Anweisungen: Erkennung und Blockierung potenziell bösartiger Benutzeranweisungen, einschließlich vorab geladener bösartiger Prompts und schädlicher Anweisungen, die in Tools eingebettet sind, die von Drittanbieter-MCP-Servern bereitgestellt werden.
    • Schutz des System-Prompts und Filterung sensibler Daten: Verhinderung der Manipulation des System-Prompts, Filterung sensibler personenbezogener Daten aus Prompts und Kontexten.
    • Kontextisolation und Prompt-Vorlagen: Sicherstellung der Isolation von Kontexten aus verschiedenen Quellen, Verwendung sicherer Prompt-Vorlagen.
    • Überprüfung der Werkzeugbeschreibung und Konsistenzprüfung des Prompts.
    • Verwaltung des historischen Kontexts: Klare Mechanismen zur Bereinigung des historischen Kontexts, um Datenansammlungen und Informationslecks zu verhindern.

🛠️ Konfigurationsmethode und -ablauf: Integration von Sicherheit in Ihre MCP-Anwendung

Es geht weniger darum, diese Checkliste selbst zu „konfigurieren“, sondern darum, dass Entwickler die Sicherheitsaspekte in dieser Checkliste verwenden sollten, um ihre eigenen MCP-Anwendungen zu konfigurieren und zu verstärken. Es ist, als würde man einen detaillierten Gesundheitsbericht erhalten, und man muss seinen „Körper“ entsprechend den Indikatoren und Empfehlungen im Bericht pflegen und schützen.

Der konkrete „Konfigurationsablauf“ lässt sich in die folgenden Schritte unterteilen:

  1. Sorgfältiges Lesen der Checkliste: Entwickler müssen jeden Sicherheitsaspekt in der Checkliste und seine Wichtigkeitskennzeichnung (empfohlen, dringend empfohlen, erforderlich) sorgfältig lesen und verstehen.
  2. Risikobewertung: Bewertung der Sicherheitsaspekte, die derzeit am wichtigsten zu beachten und zu implementieren sind, basierend auf dem Anwendungsfall der eigenen MCP-Anwendung und den beteiligten sensiblen Vorgängen (z. B. ob Kryptowährungstransaktionen beteiligt sind, ob auf Benutzer-Datenschutzdaten zugegriffen werden muss usw.).
  3. Entwicklung einer Sicherheitsstrategie: Erstellung einer detaillierten Sicherheitsstrategie und eines Implementierungsplans basierend auf den Ergebnissen der Risikobewertung, um festzulegen, welche Sicherheitsmaßnahmen priorisiert werden müssen und welche optional basierend auf der tatsächlichen Situation implementiert werden können.
  4. Implementierung von Sicherheitsmaßnahmen: Umsetzung der relevanten Sicherheitsmaßnahmen in der Checkliste im Entwicklungsprozess, der Bereitstellung und dem Betrieb von MCP-Servern, Clients und Hosts, z. B. Eingabevalidierung, Implementierung der Zugriffskontrolle, Verschlüsselung sensibler Daten, Filterung bösartiger Prompts usw.
  5. Kontinuierliche Überwachung und Aktualisierung: Sicherheit ist ein kontinuierlicher Prozess. Entwickler müssen einen umfassenden Überwachungsmechanismus einrichten, Sicherheitsstrategien regelmäßig überprüfen und aktualisieren und auf neue Sicherheitsbedrohungen reagieren. Sie müssen auch die Aktualisierungen der MCP-Sicherheitscheckliste verfolgen, um die neuesten Sicherheitshinweise rechtzeitig zu übernehmen.

🔗 Tool-Adresse

Sie finden diese wertvolle MCP-Sicherheitscheckliste auf GitHub:

https://github.com/slowmist/MCP-Security-Checklist