Wiz
Todos los artículosAI Security

Seguridad del protocolo de contexto del modelo

Snegha Ramnarayanan
Guía de seguridad de MCPCómo Grammarly redujo el triaje en un 90% con MCP
Principales conclusiones de este artículo:

  • MCP actúa como un plano de control de seguridad universal que estandariza la aplicación de políticas en los flujos de trabajo de IA empresarial. 

  • También crea vías directas entre los sistemas de IA y los recursos empresariales, eliminando los límites de seguridad tradicionales y haciendo que los compromisos individuales sean catastróficos.

  • Las herramientas de seguridad tradicionales pueden't manejar MCP', dejando a las organizaciones ciegas a su exposición real al riesgo.

  • La aplicación de políticas en tiempo real evita acciones de alto riesgo al evaluar cada solicitud antes de la ejecución.

Últimamente Protocolo de contexto del modelo, o MCP, se ha convertido en un marco preferido para integrar bases de datos empresariales, API y otras infraestructuras críticas con sistemas de IA. Un Proyecto de código abierto De Antrópico, MCP está diseñado para hacer cumplir las mejores prácticas de seguridad, agregando la toma de decisiones basada en políticas a cualquier acción o herramienta.

Pero pocas organizaciones han considerado las implicaciones de seguridad que surgen como resultado de una adopción tan generalizada de MCP. MCP está creando vías directas entre los modelos de IA y los recursos empresariales, lo que elimina efectivamente los límites de seguridad tradicionales que dependen del aislamiento del sistema. Por lo tanto, cuando los atacantes comprometen un solo servidor MCP (uno que aún no se ha reforzado adecuadamente), obtienen acceso a varios sistemas empresariales a la vez. 

Esas son malas noticias: la mayoría de las implementaciones de MCP requieren privilegios elevados para funcionar de manera efectiva, y estos sistemas manejan rutinariamente operaciones confidenciales como consultas a bases de datos de clientes y comandos de infraestructura.

En esta publicación,'examinará por qué los marcos de seguridad tradicionales luchan con los desafíos modernos de integración de IA y explorará cómo MCP llena los vacíos críticos en la arquitectura de seguridad empresarial. También exploraremos la mecánica técnica que hace o deshace estas implementaciones. Al final, estará equipado con prácticas comprobadas que eliminan los vectores de ataque al tiempo que preservan la potencia operativa.

Are You Ready for Secure AI?

Learn what leading teams are doing today to reduce AI threats tomorrow.

Las ventajas de MCP

Considere cómo suelen funcionar las herramientas de seguridad en la actualidad. En un extremo, los sistemas de identidad administran quién puede acceder a qué, mientras que las herramientas de clasificación de datos rastrean información confidencial y las soluciones de monitoreo de actividad registran lo que sucedió después del hecho. 

El problema es que estos sistemas no't hablar entre nosotros de manera significativa. Esto es lo que sucede cuando solo se implementan controles tradicionales: Cuando un agente de IA solicita acceso a los datos del cliente a través de MCP, su sistema de identidad puede aprobar la solicitud en función de los permisos de rol, pero no tiene idea de que el mismo agente acaba de intentar tres operaciones sospechosas en la última hora.

Esta fragmentación se vuelve particularmente peligrosa cuando se da cuenta de que las acciones de alto riesgo a menudo ocurren sin verificaciones de políticas en tiempo real. Un sistema de IA puede filtrar datos confidenciales o ejecutar comandos destructivos, y es posible que su pila de seguridad no reconstruya la amenaza hasta que'es demasiado tarde.

Para hacer frente a estas amenazas, MCP introduce una puerta de decisión ligera que hace que la seguridad sea menos reactiva y más proactiva. En lugar de depender del análisis forense posterior al incidente, las organizaciones pueden implementar la aplicación de políticas en tiempo real que evalúa cada solicitud en función de la identidad, el contexto del entorno y la acción específica que se intenta. 

Pro tip

Using MCP, Grammarly cut SOC triage time by over 90% – from 30–45 minutes to just four minutes per ticket – by automating investigations across Wiz, Jira, Slack, and more. Check out the prompt they used ›

Componentes centrales del ecosistema MCP

MCP opera a través de tres componentes principales que trabajan juntos para crear una capa unificada de aplicación de seguridad.

Figure 1: How the Model Context Protocol works (Source: Anthropic)

Cliente MCP

El cliente es la primera línea de defensa, ya que intercepta acciones de alto riesgo antes de que lleguen a los sistemas clave. En lugar de pasar solicitudes a ciegas, evalúa cada acción según criterios predefinidos y reenvía solo solicitudes legítimas al motor de políticas.

Lo que hace que los clientes de MCP sean particularmente efectivos es el hecho de que pueden operar en diversos entornos. Es razonable que espere que monitoreen las sesiones de terminal donde los ingenieros ejecutan comandos de infraestructura, interceptan llamadas API en canalizaciones de CI / CD e incluso se conectan Herramientas de seguridad de IA que interactúan con conjuntos de datos confidenciales. 

Servidor MCP

El servidor funciona como el motor central de políticas que toma decisiones en tiempo real sobre si se deben permitir o bloquear acciones específicas. Cuando un cliente intercepta una operación potencialmente arriesgada, el servidor evalúa esa solicitud en función de varios factores, incluida la identidad del usuario, el contexto del entorno, la acción específica que se intenta y las directivas organizativas pertinentes.

Marco de política como código

Las políticas en MCP se escriben como código utilizando formatos como JSON o HCLL (similar a cómo los equipos de infraestructura administran las configuraciones de Terraform). Con este enfoque, los equipos de seguridad pueden controlar las versiones de sus políticas, probar cambios en entornos de ensayo e implementar actualizaciones a través de las mismas canalizaciones de CI/CD que usan para el código de la aplicación. 

El marco de políticas soporta reglas detalladas que pueden tener en cuenta requisitos organizativos complejos: por ejemplo, una política podría permitir el acceso a la base de datos durante el horario laboral pero requerir la aprobación del gestor para la misma operación durante los fines de semana.

Pista de auditoría centralizada

Cada interacción que fluye a través del ecosistema MCP se registra extensamente. Estos registros capturan lo que sucedió y el contexto más fino que rodea cada decisión, incluidas las políticas que se evaluaron y si se otorgaron excepciones.

Get an AI-SPM Sample Assessment

Take a peek behind the curtain to see what insights you’ll gain from Wiz AI Security Posture Management (AI-SPM) capabilities.

Casos de uso de seguridad habilitados por MCP

Las organizaciones están descubriendo que MCP'se extienden mucho más allá de los controles de acceso tradicionales, particularmente como Riesgos de seguridad de la IA seguir evolucionando.

  • Seguridad de la terminal se vuelve significativamente más robusto cuando MCP intercepta comandos destructivos antes de que se ejecuten.

  • Control de acceso a la nube obtiene una actualización importante a través de MCP'para aplicar políticas granulares a acciones de nivel de API en AWS, Azure y GCP. 

  • Barreras de seguridad de canalización de CI/CD representan otra poderosa aplicación de MCP. Al aplicar políticas durante las compilaciones y las implementaciones, el sistema puede bloquear comandos peligrosos de Terraform, evitar implementaciones de contenedores no autorizadas y requerir aprobación adicional para los cambios que afectan a los entornos de producción.

  • Salvaguardias del sistema de IA aproveche MCP para controlar las inyecciones de avisos, controlar el uso de herramientas y monitorear el acceso a la memoria en los agentes LLM. Estas salvaguardas resultan esenciales cuando se implementan herramientas de seguridad de IA que necesitan acceso a datos confidenciales bajo estrictos controles operativos.

Asegurar MCP 

A diferencia de las aplicaciones convencionales con límites definidos, MCP crea vías bastante dinámicas entre los sistemas de IA y los recursos empresariales. Por lo tanto, un solo servidor MCP comprometido no'no solo violar un sistema, sino potencialmente toda su infraestructura de TI. El riesgo con MCP solo aumenta ya que sus componentes dependen de privilegios elevados para el acceso a la base de datos, los comandos de infraestructura y las operaciones confidenciales. Un compromiso puede heredar esos privilegios en multitudes de sistemas empresariales.

Estos vectores de ataque requieren nuevas prácticas de seguridad:

Autenticación

Si bien OAuth 2.0 y OpenID Connect sientan las bases para la verificación de identidad, las políticas de autenticación MCP se convierten en objetivos de alto valor, ya que're escrito como código. Esto significa que requieren control de versiones, registros de auditoría y verificación de firmas para evitar la manipulación. Una política comprometida podría otorgar a los atacantes un acceso amplio a través de los sistemas empresariales, por lo que la integridad de la política se convierte en una preocupación crítica que muchas organizaciones inicialmente pasan por alto.

Seguridad del transporte

La seguridad del transporte es tan crucial como la autenticación y exige comunicaciones TLS mutuas (mTLS). Si bien esta verificación bidireccional garantiza que los clientes comprometidos puedan'Para disfrazarse de servicios legítimos, también plantea preguntas de disponibilidad que las organizaciones deben abordar por adelantado. Las mejores prácticas dictan que cuando los servidores MCP dejan de estar disponibles, los sistemas necesitan comportamientos predeterminados a prueba de fallas. Querrás "falla cerrada" en lugar de "falla al abrir." (¡Aceptar una interrupción operativa temporal es un pequeño compromiso en comparación con las posibles violaciones de seguridad!)

Figure 2: Wiz pinpoints seemingly routine vulnerabilities that can hide critical attack paths

Seguridad de la cadena de suministro

Dada MCP', la seguridad de la cadena de suministro puede ser especialmente compleja. Sin una autoridad central que haga cumplir los estándares de seguridad, las organizaciones se encuentran con una calidad de código variable y parches inconsistentes en todas las implementaciones. ¿La solución? Registros internos de confianza que tratan a los servidores MCP no examinados como software desconocido de Internet. 

Aprovechar a Wiz para asegurar el MCP

Wiz aborda muchos desafíos de seguridad de MCP que hemos discutido anteriormente a través de un enfoque integral que incluye tanto la seguridad de las implementaciones de MCP como el aprovechamiento de la arquitectura de MCP para su propia aplicación de seguridad.

Comienza con registros de confianza que validan la integridad del servidor antes de la implementación, bloqueando componentes no examinados en 40+ sistemas operativos y 120,000+ vulnerabilidades. Esta base permite el escaneo automatizado que se integra en las canalizaciones de CI/CD, mostrando riesgos contextuales de forma continua en lugar de periódica. 

Sobre la base de esta visibilidad, Security Graph evalúa las solicitudes de acceso de forma dinámica, sopesando la identidad del usuario frente al radio de explosión potencial a través de un análisis interconectado. Cuando se trata específicamente de cargas de trabajo de IA, Wiz'(¡más sobre esto a continuación!) permite consultas en lenguaje natural mientras mantiene los límites de seguridad y detecta automáticamente los riesgos de fuga de datos confidenciales. Toda esta inteligencia fluye hacia un monitoreo unificado que consolida eventos a través de integraciones de API, revelando cómo las vulnerabilidades se interconectan y crean combinaciones tóxicas que convierten los problemas individuales en amenazas graves.

Cómo Wiz utiliza MCP para la aplicación de la seguridad en tiempo real

Servidor MCP propio de Wiz permite a los clientes aplicar barreras de seguridad en entornos nativos de la nube, proporcionando una aplicación de políticas en tiempo real que aborda los riesgos críticos de seguridad de IA en infraestructuras modernas en la nube. El servidor se integra con los flujos de trabajo de desarrollo, lo que permite capacidades como la creación automatizada de solicitudes de incorporación de cambios de GitHub para la corrección de la seguridad. El servidor funciona como una fuente de datos de seguridad unificada a través de una configuración central de host y servidor, creando una vista única y contextual de su postura de seguridad que simplifica las investigaciones y acelera Respuesta a incidentes.

El servidor aprovecha el sistema patentado de Wiz Gráfico de seguridad para enriquecer las decisiones políticas con un contexto en tiempo real que va mucho más allá de los controles de acceso tradicionales. Cuando los ingenieros intentan operaciones como comandos destructivos de Terraform, el sistema evalúa la propiedad de los activos, los niveles de exposición, los riesgos de identidad y el radio de explosión potencial antes de tomar decisiones de cumplimiento.

Más allá del simple bloqueo, esta aplicación crea un sistema de retroalimentación inteligente. Encontrará que los eventos de MCP se alimentan directamente de Wiz defiende, donde impulsan la detección de incidentes y la búsqueda de amenazas. Esta integración se perfecciona continuamente AI-SPM mientras permite que los equipos consulten su entorno en la nube en lenguaje natural. El resultado transforma los datos de seguridad sin procesar en información procesable que fortalece su postura de seguridad general. 

Para obtener más información, consulte Esta publicación de blog de Wiz. Mejor aún, Programe una demostración, y comprueba por ti mismo cómo Wiz protege todo lo que construyes y ejecutas en la nube.

AI Security Posture Assessment Sample Report

Take a peek behind the curtain to see what insights you’ll gain from Wiz AI Security Posture Management (AI-SPM) capabilities. In this Sample Assessment Report, you’ll get a view inside Wiz AI-SPM including the types of AI risks AI-SPM detects.