README.md

אבטחת MCP: הגנה מקיפה למערכות בינה מלאכותית

(לחצו על התמונה למעלה כדי לצפות בסרטון של השיעור)

אבטחה היא יסוד בעיצוב מערכות בינה מלאכותית, ולכן אנו ממקמים אותה כסעיף השני שלנו. זה תואם את עקרון Secure by Design של מייקרוסופט מתוך יוזמת Secure Future.

פרוטוקול הקשר לדגם (MCP) מביא יכולות חדשות וחזקות ליישומים מונעי בינה מלאכותית, תוך הצגת אתגרים ייחודיים באבטחה החורגים מסיכוני תוכנה מסורתיים. מערכות MCP מתמודדות עם חששות אבטחה מוכרים (קידוד מאובטח, עקרון ההרשאות המזעריות, אבטחת שרשרת האספקה), לצד איומים ייחודיים לבינה מלאכותית כולל הזרקת פקודות, הרעלת כלים, חטיפת סשנים, התקפות טועה מייצג, פגיעויות במעבר אסימונים, ושינויים דינמיים ביכולות.

השיעור הזה בוחן את הסיכונים הקריטיים ביותר באבטחת יישומי MCP—כולל אימות, הרשאות, הרשאות מופרזות, הזרקות פקודות עקיפות, אבטחת סשנים, בעיות טועה מייצג, ניהול אסימונים ופגיעויות בשרשרת האספקה. תלמדו אמצעי בקרה מעשיים והנחיות מיטב פרקטיקות להקטנת סיכונים אלו תוך ניצול פתרונות מייקרוסופט כמו Prompt Shields, Azure Content Safety, ו-GitHub Advanced Security לחיזוק פריסת MCP שלכם.

מטרות הלמידה

בסוף השיעור תוכלו:

• לזהות איומי אבטחה ספציפיים ל-MCP: לזהות סיכוני אבטחה ייחודיים במערכות MCP כולל הזרקת פקודות, הרעלת כלים, הרשאות מופרזות, חטיפת סשנים, בעיות טועה מייצג, פגיעויות מעבר אסימונים, וסיכוני שרשרת אספקה
• להחיל אמצעי בקרה אבטחתיים: ליישם הקטנות יעילות כולל אימות חזק, גישה בהרשאות מזעריות, ניהול אסימונים מאובטח, בקרות אבטחת סשנים, ואימות שרשרת אספקה
• לנצל פתרונות אבטחה של מייקרוסופט: להבין ולפרוס את Microsoft Prompt Shields, Azure Content Safety, ו-GitHub Advanced Security להגנת עומסי עבודה של MCP
• לאמת אבטחת כלים: לזהות חשיבות של אימות מטא-נתונים של כלים, ניטור שינויים דינמיים, והגנה מפני התקפות הזרקת פקודות עקיפות
• לשלב מיטב פרקטיקות: לשלב יסודות אבטחה מבוססים (קידוד מאובטח, התקשות שרת, אימון אפס אמון) עם בקרות ספציפיות ל-MCP להגנה מקיפה

ארכיטקטורת ובקרות אבטחת MCP

יישומי MCP מודרניים דורשים גישות אבטחה רב-שכבתיות המטפלות גם באבטחת תוכנה מסורתית וגם באיומים ייחודיים לבינה מלאכותית. המפרט המתפתח במהירות של MCP ממשיך לבסס את בקרות האבטחה, מאפשר אינטגרציה טובה יותר עם ארכיטקטורות אבטחה ארגוניות ועם מיטב הפרקטיקות המוכחות.

מחקר מתוך Microsoft Digital Defense Report מראה כי 98% מהמקרים המדווחים על פריצות ניתנים למניעה על ידי היגיינת אבטחה חזקה. האסטרטגיה האפקטיבית ביותר משלבת פרקטיקות אבטחה בסיסיות עם בקרות ספציפיות ל-MCP—מדדי אבטחה בסיסיים מוכחים הם בעלי ההשפעה הגדולה ביותר בהפחתת סיכון אבטחה כולל.

תמונת הנוף הנוכחית של אבטחה

הערה: מידע זה משקף את תקני אבטחת MCP נכון ל-5 בפברואר 2026, בהתאם למפרט MCP Specification 2025-11-25. הפרוטוקול ממשיך להתפתח במהירות, ויישומים עתידיים עשויים להציג תבניות אימות חדשות ובקרות מתקדמות. יש תמיד לעיין ב-מפרט MCP העדכני, מאגר ה-GitHub של MCP, ו-מסמכי מיטב הפרקטיקות באבטחה להנחיות עדכניות.

🏔️ סדנת שיא אבטחת MCP (שרפה)

להכשרה מעשית באבטחה, אנו ממליצים בחום על סדנת שיא אבטחת MCP (שרפה) – מסע הדרכה מקיף לאבטחת שרתי MCP ב-Microsoft Azure.

סיכום הסדנה

סדנת שיא אבטחת MCP מספקת הדרכה מעשית ואפקטיבית באמצעות מתודולוגיה מוכחת של "פגיע → ניצול → תיקון → אימות". אתם:

• לומדים על ידי שבירת דברים: חווים פגיעויות ישירות על ידי ניצול שרתים לא מאובטחים במתכוון
• משתמשים באבטחה טבעית של Azure: משתמשים ב-Azure Entra ID, Key Vault, ניהול API, ו-AI Content Safety
• עוקבים אחר עקרון ההגנה בעומק: מתקדמים דרך מחנות הבונים שכבות אבטחה מקיפות
• מיישמים תקני OWASP: כל טכניקה מתאימה ל-מדריך האבטחה של MCP ב-Azure
• משיגים קוד פרודקשן: יוצאים עם יישומים עובדים ומבוססים

מסלול המסע

מחנה	מיקוד	סיכוני OWASP המכוסים
מחנה בסיס	יסודות MCP ופגיעויות אימות	MCP01, MCP07
מחנה 1: זהות	OAuth 2.1, זהות מנוהלת של Azure, Key Vault	MCP01, MCP02, MCP07
מחנה 2: שער	ניהול API, נקודות קצה פרטיות, ממשל	MCP02, MCP07, MCP09
מחנה 3: אבטחת I/O	זריקת פקודות, הגנת PII, בטיחות תוכן	MCP03, MCP05, MCP06
מחנה 4: ניטור	ניתוח לוגים, לוחות בקרה, זיהוי איומים	MCP08
הפסגה	מבחן אינטגרציה צוות אדום / צוות כחול	כולם

התחילו כאן: https://azure-samples.github.io/sherpa/

שמאל על 10 סיכוני האבטחה המובילים של MCP לפי OWASP

מדריך האבטחה של MCP ב-Azure של OWASP מפרט עשרה סיכוני אבטחה קריטיים ליישומי MCP:

סיכון	תיאור	הפחתה ב-Azure
MCP01	ניהול אסימון לקוי וחשיפת סוד	Azure Key Vault, זהות מנוהלת
MCP02	הסלמת הרשאות דרך הרחבת תחום	RBAC, גישה מותנית
MCP03	הרעלת כלים	אימות כלים, וידוא שלמות
MCP04	התקפות שרשרת אספקה	GitHub Advanced Security, סריקת תלות
MCP05	הזרקת פקודות וביצוע	אימות קלט, סביבות מבודדות
MCP06	הזרקת פקודות דרך מטענים קונטקסטואליים	Azure AI Content Safety, Prompt Shields
MCP07	אימות והרשאה לא מספקים	Azure Entra ID, OAuth 2.1 עם PKCE
MCP08	חוסר באודיט וטלמטריה	Azure Monitor, Application Insights
MCP09	שרתי MCP מוצנעים	ממשל API Center, בידוד רשת
MCP10	הזרקת הקשר ושיתוף יתר	סיווג נתונים, חשיפת מינימום

התפתחות אימות MCP

מפרט MCP התפתח משמעותית בגישתו לאימות והרשאות:

• גישה מקורית: מפרטים מוקדמים דרשו מהמפתחים ליישם שרתי אימות מותאמים אישית, תוך שרתי MCP כספקי OAuth 2.0 מנהלים אימות משתמשים ישיר
• תקן נוכחי (2025-11-25): מפרט מעודכן מאפשר לשרתי MCP להאציל אימות לספקי זהות חיצוניים (כגון Microsoft Entra ID), משפר את עמידות האבטחה ומפשט את היישום
• אבטחת שכבת תחבורה: תמיכה משופרת למנגנוני העברה מאובטחים עם תבניות אימות נאותות לחיבורים מקומיים (STDIO) ומרוחקים (Streamable HTTP)

אבטחת אימות והרשאות

אתגרי אבטחה נוכחיים

יישומי MCP מודרניים מתמודדים עם אתגרי אימות והרשאה מגוונים:

סיכונים וכיווני התקפה

• לוגיקת הרשאה לקויה: יישום הרשאה פגום בשרתי MCP עלול לחשוף מידע רגיש וליישם בקרות גישה בצורה לא נכונה
• פגיעה באסימוני OAuth: גניבת אסימון בשרת MCP מקומי מאפשרת לתוקפים להתחזה לשרתים ולקבל גישה לשירותים נוספים
• פגיעויות במעבר אסימונים: טיפול לקוי באסימונים יוצר עקיפות בבקרת אבטחה ופערי אחריות
• הרשאות מופרזות: שרתי MCP עם הרשאות מופרזות מנוגדים לעקרון ההרשאות המזעריות ומרחיבים את פני שטח ההתקפה

מעבר אסימונים: אנטי-תבנית קריטית

מעבר אסימונים אסור במפורש במפרט ההרשאה הנוכחי של MCP בגלל השלכות אבטחה חמורות:

עקיפת בקרות אבטחה

• שרתי MCP ו-API דאונסטרים מפעילים בקרות אבטחה קריטיות (הגבלת קצב, אימות בקשות, ניטור תנועה) התלויות באימות אסימונים תקין
• שימוש ישיר של הלקוח באסימון ל-API עוקף הגנות אלה, ומחליש את ארכיטקטורת האבטחה

אתגרי אחריות ואודיט

• שרתי MCP אינם מזהים בין לקוחות המשתמשים באסימונים שהונפקו במעלה הזרם, מפסיקים נתיבי אודיט
• לוגי שרת המשאבים בדאון-סטרים מציגים מיקומים שגויים של בקשות במקום שרתי MCP האמיתיים
• חקירת תקריות וביקורת תאימות הופכים למורכבים משמעותית

סיכוני דליפת מידע

• טענות אסימון לא מאומתות מאפשרות לתוקפים עם אסימונים גנובים להשתמש בשרתי MCP כפרוקסי לדליפת מידע
• הפרות גבול אמון מאפשרות דפוסי גישה בלתי מורשים העוקפים בקרות אבטחה מתוכננות

וקטורי התקפה מולטי-שירותיים

• אסימונים מופרים המתקבלים במספר שירותים מאפשרים תנועה רוחבית בין מערכות מחוברות
• הנחות אמון בין שירותים עלולות להיפגע כאשר לא ניתן לאמת את מקור האסימון

בקרות אבטחה והקטנות סיכונים

דרישות אבטחה קריטיות:

חובה: שרתי MCP אסור שישקלו לקבל אסימונים שלא הונפקו במפורש עבור שרת ה-MCP

בקרות אימות והרשאה

• סקירת הרשאות קפדנית: ביצוע ביקורות מלאות על לוגיקת הרשאה של שרתי MCP להבטיח שרק משתמשים ולקוחות מתוכננים לוקחים גישה למשאבים רגישים

  • מדריך יישום: ניהול Azure API כשער אימות לשרתי MCP
  • אינטגרציית זהות: שימוש ב-Microsoft Entra ID לאימות שרת MCP

• ניהול אסימונים מאובטח: יישום הנחיות אימות וניהול מחזור חיים של אסימונים של מייקרוסופט

  • אימות טענות קהל האסימון שתואם לזהות שרת MCP
  • יישום תיאורי מדיניות סיבוב ותפוגה נאותים
  • מניעת התקפות חזרה ושימוש בלתי מורשה באסימונים

• אחסון אסימונים מוגן: אחסון אסימונים מוצפן במנוחה ובמעבר

  • מיטב פרקטיקות: הנחיות לאחסון מוצפן של אסימונים

יישום בקרה על גישה

• עקרון ההרשאה המזערית: הענקת שרתי MCP רק בהרשאות המינימום הנדרשות לתפקוד המיועד

  • סקירות ועדכוני הרשאות סדירים למניעת הגדלת הרשאות
  • תיעוד מייקרוסופט: גישה מאובטחת בהרשאות מינימום

• בקרת גישה מבוססת תפקידים (RBAC): יישום הקצאות תפקידים מדויקות

  • התמקדות תפקידים במשאבים ופעולות ספציפיים
  • הימנעות מהרשאות רחבות או מיותרות המרחיבות את שטח ההתקפה

• ניטור מתמשך של הרשאות: יישום ביקורת וניטור גישה מתמשכים

  • מעקב אחר דפוסי שימוש להרשאות חריגות
  • טיפול מיידי בהרשאות מופרזות או לא בשימוש

איומי אבטחה ייחודיים לבינה מלאכותית

התקפות הזרקת פקודות ומניפולציית כלים

יישומי MCP מודרניים מתמודדים עם וקטורי התקפה מתוחכמים ייחודיים לבינה מלאכותית שאין לנקוט בהם באמצעות אמצעי אבטחה מסורתיים בלבד:

הזרקת פקודות עקיפה (Cross-Domain Prompt Injection)

הזרקת פקודות עקיפה מהווה אחת הפגיעויות הקריטיות ביותר במערכות AI מבוססות MCP. תוקפים משבצים הנחיות זדוניות בתוך תוכן חיצוני—מסמכים, דפי אינטרנט, מיילים או מקורות נתונים—שאחר כך מערכות הבינה המלאכותית מעבדות כהוראות לגיטימיות.

תסריטי התקפה:

• הזרקה מבוססת מסמכים: הנחיות זדוניות מוסתרות במסמכים מעובדים המפעילים פעולות AI בלתי רצויות
• ניצול תוכן אינטרנט: דפי אינטרנט מופרים שמכילים פקודות מוטמעות שמשפיעות על התנהגות AI כשנעשה סקרייפינג
• התקפות דרך מיילים: פקודות זדוניות במיילים שגורמות לעוזרים דיגיטליים לחשוף מידע או לבצע פעולות לא מורשות
• הזנת נתונים מזוהמת: מסדי נתונים או APIs מופרים המספקים תוכן מזוהם למערכות AI

השפעה בעולם האמיתי: התקפות אלה עלולות לגרום לדליפת מידע, הפרות פרטיות, יצירת תוכן מזיק, ומניפולציה על אינטראקציות משתמשים. לניתוח מפורט ראו Prompt Injection ב-MCP (סיימון וויליסון).

התקפות הרעלת כלים

הרעלת כלים מכוונת למטא-נתונים שמגדירים את כלי MCP, מנצלת כיצד דגמי שפה גדולים מפרשים תיאורי כלים ופרמטרים לקבלת החלטות ביצוע.

מנגנוני התקפה:

• מניפולציית מטא-נתונים: תוקפים מזריקים הנחיות זדוניות לתיאורי הכלים, להגדרות פרמטרים או לדוגמאות שימוש
• הוראות בלתי נראות: פקודות מוסוות במטא-נתוני הכלי שמעובדות על ידי מודלים אך אינן נראות למשתמשים אנושיים
• שינוי דינמי של כלי ("מגרשי הונאה"): כלים שאושרו ע"י משתמשים משתנים לאחר מכן לפעולות זדוניות ללא מודעות המשתמש
• הזרקת פרמטרים: תוכן זדוני מוטמע בסכמות פרמטרי הכלים המשפיעות על התנהגות המודל

סיכוני שרת מאוחסן: שרתי MCP מרוחקים מהווים סיכון מוגבר מכיוון שהגדרות הכלים יכולות להתעדכן לאחר אישור המשתמש, ויוצרים תרחישים שבהם כלים שהיו בטוחים הופכים לזדוניים. לניתוח מקיף ראו התקפות הרעלת כלים (Invariant Labs).

וקטורי התקפה נוספים לבינה מלאכותית

• הזרקת פקודות חוצה תחומים (XPIA): התקפות מתוחכמות המשתמשות בתוכן ממספר תחומים כדי לעקוף בקרות אבטחה
• שינוי דינמי של יכולות: שינויים בזמן אמת ביכולות כלי העבודה החומקים מהערכת אבטחה ראשונית
• הרעלת חלון הקשר: התקפות המנצלות חלונות הקשר גדולים כדי להסתיר הוראות זדוניות
• התקפות בלבול המודל: ניצול מגבלות מודל ליצירת התנהגויות בלתי צפויות או לא בטוחות

השפעת סיכוני אבטחת AI

השלכות בעלות השפעה גבוהה:

• גניבת נתונים: גישה בלתי מורשית וגניבת נתונים אישיים או ארגוניים רגישים
• הפרות פרטיות: חשיפת מידע אישי מזהה (PII) ונתוני עסק סודיים
• תמרון מערכת: שינויים לא מכוונים במערכות וזרימות עבודה קריטיות
• גניבת אישורים: פגיעה בטוקנים לאימות ובאישורים של שירותים
• תנועה לטראלית: שימוש במערכות AI שנפרצו כמסלולים להתקפות רחבות יותר ברשת

פתרונות אבטחת AI של מיקרוסופט

מגן הנחיות AI: הגנה מתקדמת מפני התקפות הזרקת הנחיות

מיקרוסופט AI Prompt Shields מספקים הגנה מקיפה מפני התקפות הזרקת הנחיות ישירות ועקיפות באמצעות מספר שכבות אבטחה:

מנגנוני הגנה מרכזיים:

1. זיהוי וסינון מתקדמים

   • אלגוריתמים של למידת מכונה וטכניקות NLP לזיהוי הוראות זדוניות בתוכן חיצוני
   • ניתוח בזמן אמת של מסמכים, דפי אינטרנט, דוא"ל ומקורות נתונים לאיתור איומים מוטמעים
   • הבנת הקשר להבחנה בין תבניות הנחיות חוקיות לזדוניות

2. טכניקות הדגשה

   • הבחנה בין הוראות מערכת מהימנות וקלטים חיצוניים שעשויים להיות פגומים
   • שיטות המרה טקסטואלית המשתפרות את הרלוונטיות למודל תוך בידוד תוכן זדוני
   • מסייעות למערכות AI לשמור על היררכיית הנחיות נכונה ולהתעלם מפקודות מוזרקות

3. מערכות מפרידי גבולות וסימון נתונים

   • הגדרת גבולות מפורשים בין הודעות מערכת מהימנות וטקסט קלט חיצוני
   • סימנים מיוחדים המדגישים את הגבולות בין מקורות נתונים מהימנים ללא מהימנים
   • הפרדה ברורה למניעת בלבול הנחיות וביצוע פקודות בלתי מורשות

4. מודיעין איומים רציף

   • מיקרוסופט מפקחת כל העת על דפוסי התקפה חדשים ומעדכנת את ההגנות
   • ציד איומים פרואקטיבי לשיטות הזרקה חדשות וקטעי התקפה
   • עדכוני מודל אבטחה שוטפים לשמירת האפקטיביות מול איומים מתפתחים

5. שילוב עם Azure Content Safety

   • חלק מחבילת Azure AI Content Safety הכוללת
   • זיהוי נוסף לניסיונות jailbreak, תוכן מזיק והפרות מדיניות אבטחה
   • בקרה מאוחדת על אבטחה בכל רכיבי יישומי AI

משאבי יישום: תיעוד Microsoft Prompt Shields

איומי אבטחה מתקדמים ב-MCP

פגיעויות חטיפת סשן

חטיפת סשן מייצגת ונקט מתקפה קריטית ביישומי MCP מבוססי מצב (stateful) שבה צדדים בלתי מורשים משיגים ומניצלים מזהי סשן לגיטימיים כדי להתחפש ללקוחות ולבצע פעולות בלתי מורשות.

תרחישי התקפה וסיכונים

• הזרקת הנחיות חטיפת סשן: תוקפים עם מזהי סשן גנובים מוזרקים אירועים זדוניים לשרתים שמשתפים מצב סשן, מה שעלול לגרום לפעולות מזיקות או גישה לנתונים רגישים
• התחזות ישירה: מזהי סשן גנובים מאפשרים קריאות ישירות לשרת MCP תוך עקיפת אימות, במעמד תוקפים כמשתמשים לגיטימיים
• זרמים ניתנים להמשך שנפרצו: תוקפים יכולים לסיים בקשות מוקדם מדי, מה שגורם ללקוחות לגיטימיים להמשיך עם תוכן שעלול להיות זדוני

בקרות אבטחה לניהול סשנים

דרישות קריטיות:

• אימות הרשאה: שרתי MCP המיישמים הרשאה חייבים לאמת את כל הבקשות הנכנסות ואסור להסתמך על סשנים לאימות
• יצירת סשן מאובטחת: שימוש במזהי סשן קריפטוגרפיים, לא דטרמיניסטיים, שנוצרו עם מחוללי מספרים אקראיים מאובטחים
• קישור סשן למשתמש: קשירת מזהי סשן למידע ספציפי למשתמש באמצעות פורמטים כ- <user_id>:<session_id> למניעת שימוש לרעה בין משתמשים
• ניהול מחזור חיים של סשן: יישום תאריך תפוגה, סיבוב וביטול כדי להגביל חלונות פגיעות
• אבטחת תעבורה: HTTPS חובה לכל התקשורת למניעת חטיפת מזהי סשן

בעיית הממונה המבוּלב

בעיית הממונה המבולבל מתרחשת כששרתי MCP משמשים כפרוקסי אימות בין לקוחות לשירותים צד שלישי, ויוצרים הזדמנויות לעקיפת הרשאות דרך ניצול מזהה לקוח סטטי.

מכניקת התקפה וסיכונים

• עקיפת הסכמה מבוססת עוגיות: אימות משתמש קודם יוצר עוגיות הסכמה ששומשים תוקפים דרך בקשות הרשאה זדוניות עם URI הפנייה מותאמים
• גניבת קוד הרשאה: עוגיות הסכמה קיימות עשויות לגרום לשרתות ההרשאה לדלג על מסכי הסכמה ולהעביר קודים לנקודות שליטה של התוקף
• גישה בלתי מורשית ל-API: קודי הרשאה שנגנבו מאפשרים החלפת טוקנים והתחזות למשתמש ללא אישור מפורש

אסטרטגיות הטלה

בקרות מחייבות:

• דרישות הסכמה מפורשת: שרתי פרוקסי MCP המשתמשים במזהי לקוח סטטיים חייבים לקבל הסכמת משתמש לכל לקוח שנרשם דינמית
• יישום אבטחת OAuth 2.1: עקוב אחר שיטות אבטחה מומלצות ב-OAuth כולל PKCE לכל בקשות ההרשאה
• אימות קפדני של לקוח: יישום אימות קפדני של URI הפנייה ומזהי לקוח למניעת ניצול

פגיעויות Token Passthrough

Token passthrough מייצג דפוס אנטי-טבעי שבו שרתי MCP מקבלים טוקני לקוח ללא אימות מתאים ושולחים אותם ל-APIs נמוכים, באופן שפוגע בדרישות הרשאת MCP.

השלכות אבטחה

• עקיפת בקרות: שימוש ישיר בטוקני לקוח ל-API עוקף הגבלות קצב, אימות ומעקב
• שיבוש מעקב בדיקה (Audit Trail): טוקנים שהונפקו במקור למעלה מפריעים לזיהוי לקוח ומפגמים בחקירת אירועים
• גניבת נתונים באמצעות פרוקסי: טוקנים בלתי מאומתים מאפשרים לתוקפים להשתמש בשרתים כפרוקסי לגישה לנתונים ללא הרשאה
• הפרת גבולות אמון: השירותים הנמוכים עשויים לראות הפרות בהנחות אמון כאשר לא ניתן לוודא מקור טוקן
• הרחבת התקפות בין שירותים: טוקנים שנפרצו ומקובלים במספר שירותים מאפשרים תנועה לטראלית

בקרות אבטחה נדרשות

דרישות לא משתנות:

• אימות טוקן: שרתי MCP אסור לקבל טוקנים שלא הונפקו במפורש עבור שרת MCP
• אימות קהל יעד (Audience): תמיד לאמת שהקהל בטענות הטוקן מתאים לזהות שרת MCP
• מחזור חיים תקין של טוקן: יישום טוקני גישה קצרים החיים עם שיטות סיבוב מאובטחות

אבטחת שרשרת אספקה למערכות AI

אבטחת שרשרת האספקה התפתחה מעבר לתלויות תוכנה מסורתיות לכלל האקוסיסטם של AI. יישומי MCP מודרניים חייבים לאמת ולנטר בקפידה את כל רכיבי AI, משום שכל אחד מהם מהווה פתח פוטנציאלי לפגיעות שעלולות לפגוע בשלמות המערכת.

רכיבי שרשרת אספקה מורחבים ל-AI

תלויות תוכנה מסורתיות:

• ספריות וקוד פתוח
• תמונות קונטיינר ומערכות בסיס
• כלי פיתוח וצינורות בנייה
• רכיבי ותשתיות שירות

רכיבי שרשרת אספקה ייחודיים ל-AI:

• מודלים בסיסיים: מודלים מאומנים מראש מספקים שונים שדורשים אימות מקור
• שירותי הטמעה: שירותי וקטוריזציה וחיפוש סמנטי חיצוניים
• ספקי הקשר: מקורות נתונים, בסיסי ידע ומאגרים של מסמכים
• APIs צד שלישי: שירותי AI חיצוניים, צנרות ML ונקודות עיבוד נתונים
• אביזרי מודל: משקלים, קונפיגורציות וגרסאות מודל מותאמות
• מקורות נתוני אימון: מערכי נתונים המשמשים לאימון וכיול מודלים

אסטרטגיית אבטחת שרשרת אספקה מקיפה

אימות רכיבים ואמון

• אימות מקור: אימות מקורות, רשיון ושלמות כל רכיבי AI לפני שילוב
• הערכת אבטחה: סריקות פגיעויות ובדיקות אבטחה למודלים, מקורות נתונים ושירותי AI
• ניתוח מוניטין: הערכת רקורד ושיטות אבטחה של ספקי שירותי AI
• אימות התאמה: הבטחה שכל הרכיבים עומדים בדרישות הארגוניות לרגולציה ואבטחה

צנרות פריסה מאובטחות

• סריקות CI/CD אוטומטיות: שילוב סריקות אבטחה לאורך צינורות פריסה אוטומטיים
• שלמות אביזרים: אימות קריפטוגרפי לכל האביזרים המופצים (קוד, מודלים, הגדרות)
• פריסה בשלבים: שימוש באסטרטגיות פריסה הדרגתית עם אימות אבטחה בכל שלב
• מאגרים מהימנים: הפצה רק ממאגרים מאומתים ובטוחים לאביזרים

ניטור ותגובה רציפים

• סריקת תלויות: ניטור שוטף של פגיעויות בכל תוכנות ורכיבי AI
• ניטור מודלים: הערכה מתמשכת של התנהגות מודל, הסטת ביצועים ואנומליות אבטחה
• מעקב אחרי שירותים: ניטור שירותי AI חיצוניים לזמינות, תקריות אבטחה ושינויים במדיניות
• שילוב מידע מודיעין איומים: שילוב פידים של איומים מיוחדים לאבטחת AI ו-ML

בקרת גישה וזכויות מינימום

• הרשאות ברמת רכיבים: הגבלת גישה למודלים, נתונים ושירותים בהתאם לצורך עסקי
• ניהול חשבונות שירות: יישום חשבונות שירות ייעודיים עם הרשאות מינימליות נדרשות
• סגמנטציה ברשת: בידוד רכיבי AI והגבלת גישה רשתית בין שירותים
• בקרת API Gateway: שימוש בממשקי API מרכזיים לשליטה ומעקב על גישה לשירותי AI חיצוניים

תגובה ותיקון תקריות

• הליך תגובה מהירה: תהליכים מוסדרים לתיקון או החלפת רכיבי AI שנפרצו
• סיבוב אישורים: מערכות אוטומטיות לסיבוב סודות, מפתחות API ואישורי שירות
• יכולת גלגול לאחור: אפשרות לשחזר במהירות לגרסאות ידועות טובות של רכיבי AI
• התמודדות עם הפרות בשרשרת האספקה: נהלים ספציפיים למענה לפגיעות בשירותי AI מדרג גבוה

כלי ושילובי אבטחה של מיקרוסופט

GitHub Advanced Security מספק הגנת שרשרת אספקה מקיפה הכוללת:

• סריקת סודות: זיהוי אוטומטי של אישורים, מפתחות API וטוקנים במאגרים
• סריקת תלויות: הערכת פגיעויות לתלויות קוד פתוח וספריות
• ניתוח CodeQL: ניתוח קוד סטטי לאיתור פגיעויות ובעיות קוד
• תובנות שרשרת אספקה: ראות מלאה על בריאות תלויות ומצב אבטחה

שילוב עם Azure DevOps ו-Azure Repos:

• אינטגרציה חלקה של סריקות אבטחה בפלטפורמות הפיתוח של מיקרוסופט
• בדיקות אבטחה אוטומטיות ב-Azure Pipelines לעומסי עבודה AI
• אכיפת מדיניות לפריסה בטוחה של רכיבי AI

פרקטיקות פנימיות במיקרוסופט:
מיקרוסופט מיישמת שיטות אבטחה נרחבות בשרשרת האספקה בכל מוצריה. למידע נוסף על גישות מוכחות, ראו המסע לביטחון שרשרת האספקה בתוכנה במיקרוסופט.

שיטות עבודה מומלצות לבסיס אבטחה

יישומי MCP יורשים ובונים על עמדת האבטחה הקיימת בארגון. חיזוק שיטות עבודה בסיסיות לאבטחה משפר משמעותית את אבטחת מערכות ה-AI ופריסות MCP.

יסודות אבטחה מרכזיים

שיטות פיתוח מאובטחות

• עמידה ב-OWASP: הגנה מפני הפגיעויות המובילות ב-OWASP Top 10 באפליקציות רשת
• הגנות ייחודיות ל-AI: יישום בקרות ל-OWASP Top 10 ל-LLMs
• ניהול סודות מאובטח: שימוש בארונות סודות ייעודיים לטוקנים, מפתחות API ונתוני קונפיגורציה רגישים
• צפנת סוף-לסוף: יישום תקשורת מאובטחת בין כל רכיבי היישום וזרימות הנתונים
• אימות קלט: אימות קפדני של כל קלט משתמש, פרמטרי API ומקורות נתונים

חיזוק תשתיות

• אימות רב-שלבי: MFA חובה לכל חשבונות מנהלים ושירותים
• ניהול תיקונים: הטמעה אוטומטית ומהירה של תיקוני אבטחה למערכות הפעלה, מסגרות ותלויות
• שילוב ספקי זהות: ניהול זהויות מרוכז באמצעות ספקי זהות ארגוניים (Microsoft Entra ID, Active Directory)
• סגמנטציה ברשת: בידוד לוגי של רכיבי MCP להגבלת תנועה לטראלית אפשרית
• עקרון הזכויות המינימליות: מתן הרשאות מינימליות נדרשות לכל רכיבי המערכת והחשבון

ניטור ואיתור אבטחה

• רישום מקיף: תיעוד מפורט של פעילויות יישומים מבוססי AI, כולל אינטראקציות בין לקוח לשרת MCP
• שילוב SIEM: ניהול מרכזי של אירועי אבטחה ואיתור אנומליה
• אנליטיקה התנהגותית: ניטור מבוסס AI לזיהוי דפוסים חריגים במערכת ובהתנהגות משתמשים
• מודיעין איומים: שילוב פידי איומים חיצוניים ואינדיקטורי פגיעה (IOCs)
• תגובה לאירועים: נהלים ברורים לזיהוי, תגובה ושיקום מאירועי אבטחה

ארכיטקטורת Zero Trust

• אף פעם לא לסמוך, תמיד לאמת: אימות מתמשך של משתמשים, מכשירים וקישורי רשת
• מיקרוסגמנטציה: בקרות רשתיות מדויקות לבידוד עומסים ושירותים בודדים
• אבטחת זהות ממוקדת: מדיניות מבוססת הזהות המאומתת במקום על מיקום רשת
• הערכת סיכון רציפה: הערכת מצב אבטחה דינמית לפי הקשר והתנהגות נוכחית
• גישה מותנית: בקרות גישה המותאמות לפרמטרים של סיכון, מיקום ואמון במכשיר

דפוסי אינטגרציה ארגונית

אינטגרציה באקוסיסטם האבטחה של מיקרוסופט

• Microsoft Defender for Cloud: ניהול כולל של עמדת אבטחה בענן
• Azure Sentinel: SIEM ו-SOAR מבוססי ענן להגנה על עומסי עבודה AI
• Microsoft Entra ID: ניהול זהויות וגישה ארגוני עם מדיניות גישה מותנית
• Azure Key Vault: ניהול סודות מרכזי ומאובטח עם HSM
• Microsoft Purview: ממשל וציות לנתוני AI ומקורות נתונים

ציות וממשל

• תיאום רגולטורי: הבטחת עמידה בתקנות תחומיות (GDPR, HIPAA, SOC 2) ביישומי MCP
• סיווג נתונים: סיווג וניהול נאות של נתונים רגישים המעובדים במערכות AI
• עקבות ביקורת: רישום מלא לאכיפה רגולטורית ולחקירות פורנסיות
• בקרות פרטיות: היישום של עקרונות פרטיות כברירת מחדל בארכיטקטורת מערכת AI
• ניהול שינויים: תהליכים רשמיים לבדיקות אבטחה על שינויים במערכת AI

שיטות בסיס אלה יוצרות תשתית אבטחה איתנה המשפרת את יעילות בקרות האבטחה הייעודיות ל-MCP ומספקות הגנה כוללת ליישומים מונחי AI.

נקודות מפתח אבטחה

• גישה אבטחתית רב-שכבתית: שילוב שיטות אבטחה בסיסיות (קידוד מאובטח, מינימום הרשאות, אימות שרשרת אספקה, ניטור רציף) עם בקרות ייחודיות לבינה מלאכותית להגנה כוללת

• נוף איומים ייחודי לבינה מלאכותית: מערכות MCP מתמודדות עם סיכונים ייחודיים כולל הזרקת פקודות, הרעלת כלים, חטיפת מפגשים, בעיות נציג מבולבל, פרצות במעבר אסימונים, והרשאות מופרזות שדורשות אמצעי הפחתה מיוחדים

• מצוינות באימות והרשאה: יש ליישם אימות חזק באמצעות ספקי זהות חיצוניים (Microsoft Entra ID), לאכוף אימות תקף של אסימונים, ולעולם לא לקבל אסימונים שלא הונפקו במפורש לשרת MCP שלכם

• מניעת התקפות בבינה מלאכותית: הפעלת Microsoft Prompt Shields ו-Azure Content Safety להגנה מפני הזרקת פקודות עקיפה והרדמת כלים, תוך אימות מידע מטה-נתוני כלים וניטור שינויים דינמיים

• אבטחת מפגשים ותקשורת: שימוש במספרי מזהה מפגש קריפטוגרפיים, לא-דטרמיניסטיים, הקשורים לזהויות משתמש, ניהול מחזור חיים נאות למפגשים, ואיסור שימוש במפגשים לאימות

• שיטות עבודה מומלצות לאבטחת OAuth: מניעת התקפות נציג מבולבל באמצעות הסכמה ברורה מהמשתמש ללקוחות הרשומים דינמית, יישום נכון של OAuth 2.1 עם PKCE ואימות מחמיר של URI הפניה מחדש

• עקרונות אבטחת אסימונים: הימנעות מתבניות אנטי-מעבר אסימונים, אימות תביעות קהל אסימונים, יישום אסימונים קצרים עם סיבוב מאובטח, ושמירת גבולות אמון ברורים

• אבטחת שרשרת אספקה מקיפה: טיפול בכל רכיבי מערכות הבינה המלאכותית (מודלים, הטמעות, ספקי הקשר, API חיצוניים) באותה רמת אבטחה המחמירה של תלות בתוכנה מסורתית

• התפתחות מתמדת: להתעדכן במפרטים המתפתחים במהירות של MCP, לתרום לסטנדרטים קהילתיים בתחום האבטחה, ולשמור על גישות אבטחה אדפטיביות ככל שהפרוטוקול מתפתח

• שילוב האבטחה של Microsoft: לנצל את מערכות האבטחה המקיפות של מיקרוסופט (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) להגנה משודרגת על פריסות MCP

משאבים מקיפים

תיעוד הרשמי של אבטחת MCP

• מפרט MCP (עדכני: 2025-11-25)
• שיטות עבודה מומלצות לאבטחת MCP
• מפרט הרשאות MCP
• מאגר GitHub של MCP

משאבי אבטחת OWASP MCP

• מדריך אבטחת Azure ל-MCP של OWASP - רשימת OWASP MCP 10 הגדולות עם הנחיות יישום ב-Azure
• OWASP MCP 10 הגדולות - סיכוני אבטחה רשמיים ב-MCP של OWASP
• סדנת פסגת אבטחת MCP (Sherpa) - הדרכה מעשית לאבטחת MCP ב-Azure

תקני אבטחה ושיטות עבודה מומלצות

• שיטות עבודה מומלצות לאבטחת OAuth 2.0 (RFC 9700)
• OWASP 10 הגדולות לאבטחת יישומי ווב
• OWASP 10 הגדולות לדגמי שפה גדולים
• דו"ח ההגנה הדיגיטלית של מיקרוסופט

מחקר וניתוח אבטחת בינה מלאכותית

• הזרקת פקודות ב-MCP (Simon Willison)
• התקפות הרעלת כלים (Invariant Labs)
• סקירת מחקר אבטחת MCP (Wiz Security)

פתרונות אבטחה של מיקרוסופט

• תיעוד Microsoft Prompt Shields
• שירות Azure Content Safety
• אבטחת Microsoft Entra ID
• שיטות ניהול אסימונים של Azure
• אבטחת GitHub מתקדמת

מדריכים ודרכות ליישום

• ניהול API של Azure כשער אימות MCP
• אימות Microsoft Entra ID עם שרתי MCP
• אחסון מבוטח והצפנת אסימונים (וידאו)

אבטחת DevOps ושרשרת אספקה

• אבטחת Azure DevOps
• אבטחת Azure Repos
• מסע האבטחה של שרשרת האספקה במיקרוסופט

תיעוד נוסף לאבטחה

לייעוץ אבטחה מקיף, עיינו במסמכים המיוחדים בסעיף זה:

• שיטות עבודה מומלצות לאבטחת MCP 2025 - שיטות עבודה מלאות לאבטחת יישומי MCP
• יישום Azure Content Safety - דוגמאות יישום מעשיות לאינטגרציה עם Azure Content Safety
• בקרות אבטחה ל-MCP 2025 - בקרות ושיטות אבטחה עדכניות לפריסות MCP
• מדריך מהיר לשיטות עבודה מומלצות ב-MCP - מדריך מהיר לשיטות אבטחה חיוניות ב-MCP

הדרכות אבטחה מעשיות

• סדנת פסגת אבטחת MCP (Sherpa) - סדנה מקיפה ומעשית לאבטחת שרתי MCP ב-Azure עם מחנות מתקדמים מבסיס למחנה פסגה
• מדריך אבטחת Azure MCP של OWASP - ארכיטקטורת הפניה והנחיות יישום לכל סיכוני OWASP MCP 10 הגדולות

---

מה הלאה

הבא: פרק 3: להתחלה

---

כתב ויתור: מסמך זה תורגם באמצעות שירות תרגום בינה מלאכותית Co-op Translator. למרות שאנו שואפים לדיוק, יש לקחת בחשבון כי תרגומים אוטומטיים עלולים להכיל שגיאות או אי-דיוקים. המסמך המקורי בשפת המקור שלו יש להיחשב כמקור הסמכותי. למידע קריטי מומלץ לבצע תרגום מקצועי על ידי אדם. איננו נושאים באחריות על כל אי הבנה או פרשנות שגויה הנובעת משימוש בתרגום זה.