(इस पाठ के वीडियो देखने के लिए ऊपर दी गई छवि पर क्लिक करें)
सुरक्षा AI सिस्टम डिज़ाइन का मूलभूत हिस्सा है, इसलिए हम इसे अपने दूसरे भाग के रूप में प्राथमिकता देते हैं। यह Microsoft के Secure Future Initiative के Secure by Design सिद्धांत के अनुरूप है।
Model Context Protocol (MCP) AI-संचालित अनुप्रयोगों में शक्तिशाली नई क्षमताएँ लाता है, साथ ही पारंपरिक सॉफ़्टवेयर जोखिमों से परे अद्वितीय सुरक्षा चुनौतियाँ प्रस्तुत करता है। MCP सिस्टम को स्थापना सुरक्षा चिंताओं (सुरक्षित कोडिंग, न्यूनतम अधिकार, सप्लाई चेन सुरक्षा) के साथ-साथ नए AI-विशिष्ट खतरों जैसे प्रांप्ट इंजेक्शन, टूल पॉइज़निंग, सेशन हाईजैकिंग, कन्फ्यूज्ड डेप्यूटी अटैक्स, टोकन पासथ्रू कमजोरियां, और गतिशील क्षमता संशोधन का सामना करना पड़ता है।
यह पाठ MCP कार्यान्वयन में सबसे महत्वपूर्ण सुरक्षा जोखिमों का अन्वेषण करता है—प्रमाणीकरण, प्राधिकरण, अति权限, अप्रत्यक्ष प्रांप्ट इंजेक्शन, सेशन सुरक्षा, कन्फ्यूज्ड डेप्यूटी समस्याएं, टोकन प्रबंधन, और सप्लाई चेन कमजोरियों को कवर करता है। आप इन जोखिमों को कम करने के लिए व्यावहारिक नियंत्रण और सर्वोत्तम अभ्यास सीखेंगे, साथ ही Microsoft के समाधान जैसे Prompt Shields, Azure Content Safety, और GitHub Advanced Security का उपयोग करके अपने MCP तैनाती को मजबूत करेंगे।
इस पाठ के अंत तक, आप सक्षम होंगे:
- MCP-विशिष्ट खतरों की पहचान करना: MCP सिस्टम में अनूठे सुरक्षा जोखिमों को समझना, जिनमें प्रांप्ट इंजेक्शन, टूल पॉइज़निंग, अति权限, सेशन हाईजैकिंग, कन्फ्यूज्ड डेप्यूटी समस्याएं, टोकन पासथ्रू कमजोरियां, और सप्लाई चेन जोखिम शामिल हैं।
- सुरक्षा नियंत्रण लागू करना: मजबूत प्रमाणीकरण, न्यूनतम अधिकार पहुंच, सुरक्षित टोकन प्रबंधन, सेशन सुरक्षा नियंत्रण, और सप्लाई चेन सत्यापन सहित प्रभावी निवारक उपाय अपनाना।
- Microsoft सुरक्षा समाधान का उपयोग करना: MCP वर्कलोड सुरक्षा के लिए Microsoft Prompt Shields, Azure Content Safety, और GitHub Advanced Security को समझना और तैनात करना।
- टूल सुरक्षा का सत्यापन करना: टूल मेटाडेटा सत्यापन के महत्व को समझना, गतिशील परिवर्तनों की निगरानी करना, और अप्रत्यक्ष प्रांप्ट इंजेक्शन हमलों से बचाव करना।
- सर्वोत्तम अभ्यासों को एकीकृत करना: स्थापित सुरक्षा मूलभूत सिद्धांतों (सुरक्षित कोडिंग, सर्वर हार्डनिंग, ज़ीरो ट्रस्ट) को MCP-विशिष्ट नियंत्रणों के साथ संयोजित करके व्यापक सुरक्षा प्रदान करना।
आधुनिक MCP कार्यान्वयन परत दर परत सुरक्षा दृष्टिकोण की मांग करते हैं जो पारंपरिक सॉफ़्टवेयर सुरक्षा और AI-विशिष्ट खतरों दोनों को संबोधित करते हैं। तेजी से विकसित हो रही MCP विशिष्टता अपने सुरक्षा नियंत्रणों को परिपक्व कर रही है, जो उद्यम सुरक्षा वास्तुकला और स्थापित सर्वोत्तम प्रथाओं के साथ बेहतर एकीकरण सक्षम करती है।
Microsoft Digital Defense Report के अनुसंधान से पता चलता है कि 98% रिपोर्ट किए गए उल्लंघनों को मजबूत सुरक्षा स्वच्छता से रोका जा सकता है। सबसे प्रभावी सुरक्षा रणनीति बुनियादी सुरक्षा प्रथाओं को MCP-विशिष्ट नियंत्रणों के साथ संयोजित करना है—पुष्ट आधारभूत सुरक्षा उपाय समग्र सुरक्षा जोखिम को कम करने में सबसे प्रभावशाली बने रहते हैं।
[!NOTE] यह जानकारी 5 फरवरी, 2026 तक के MCP सुरक्षा मानकों को दर्शाती है, जो MCP Specification 2025-11-25 के अनुरूप है। MCP प्रोटोकॉल तेज़ी से विकसित हो रहा है, और भविष्य के कार्यान्वयन नये प्रमाणीकरण पैटर्न और संवर्धित नियंत्रण ला सकते हैं। नवीनतम दिशानिर्देशों के लिए वर्तमान MCP Specification, MCP GitHub repository, और security best practices documentation देखें।
हैंड्स-ऑन सुरक्षा प्रशिक्षण के लिए, हम अत्यधिक सुझाव देते हैं MCP सुरक्षा शिखर सम्मेलन कार्यशाला (शेर्पा)—Microsoft Azure में MCP सर्वरों की सुरक्षा के लिए एक व्यापक मार्गदर्शित अभियान।
MCP सुरक्षा शिखर सम्मेलन कार्यशाला व्यावहारिक, लागू सुरक्षा प्रशिक्षण प्रदान करता है जो "असुरक्षित → शोषण → सुधार → सत्यापन" पद्धति पर आधारित है। आप:
- तोड़फोड़ करके सीखेंगे: जानबूझकर असुरक्षित सर्वरों का शोषण करके कमजोरियों को महसूस करेंगे।
- Azure-नेटिव सुरक्षा का उपयोग करेंगे: Azure Entra ID, Key Vault, API Management, और AI Content Safety का लाभ।
- डीफ़ेंस-इन-डेप्थ का पालन करेंगे: परिसरों के माध्यम से व्यापक सुरक्षा स्तर बनाएंगे।
- OWASP मानकों को लागू करेंगे: हर तकनीक OWASP MCP Azure Security Guide से मेल खाती है।
- प्रोडक्शन कोड प्राप्त करेंगे: काम करता और परीक्षण किया गया कार्यान्वयन लेकर जाएंगे।
| कैंप | फोकस | OWASP जोखिम शामिल |
|---|---|---|
| बेस कैंप | MCP मूल बातें और प्रमाणीकरण कमजोरियां | MCP01, MCP07 |
| कैंप 1: पहचान | OAuth 2.1, Azure Managed Identity, Key Vault | MCP01, MCP02, MCP07 |
| कैंप 2: गेटवे | API Management, Private Endpoints, गवर्नेंस | MCP02, MCP07, MCP09 |
| कैंप 3: I/O सुरक्षा | प्रांप्ट इंजेक्शन, PII संरक्षण, कंटेंट सुरक्षा | MCP03, MCP05, MCP06 |
| कैंप 4: निगरानी | लॉग एनालिटिक्स, डैशबोर्ड, खतरा पहचान | MCP08 |
| शिखर सम्मेलन | रेड टीम / ब्लू टीम इंटीग्रेशन टेस्ट | सभी |
शुरू करें: https://azure-samples.github.io/sherpa/
OWASP MCP Azure Security Guide MCP कार्यान्वयन के लिए दस सबसे महत्वपूर्ण सुरक्षा जोखिमों का विवरण प्रदान करता है:
| जोखिम | विवरण | Azure निवारण |
|---|---|---|
| MCP01 | टोकन कुप्रबंधन और गुप्त पदार्थ का खुलासा | Azure Key Vault, Managed Identity |
| MCP02 | स्कोप क्रीप के कारण अधिकार बढ़ना | RBAC, Conditional Access |
| MCP03 | टूल पॉइज़निंग | टूल सत्यापन, अखंडता की जांच |
| MCP04 | सप्लाई चेन हमले | GitHub Advanced Security, निर्भरता स्कैनिंग |
| MCP05 | कमांड इंजेक्शन एवं निष्पादन | इनपुट सत्यापन, सैंडबॉक्सिंग |
| MCP06 | प्रांप्ट इंजेक्शन संदर्भित पेलोड के माध्यम से | Azure AI Content Safety, Prompt Shields |
| MCP07 | अपर्याप्त प्रमाणीकरण और प्राधिकरण | Azure Entra ID, OAuth 2.1 with PKCE |
| MCP08 | ऑडिट और टेलीमेट्री की कमी | Azure Monitor, Application Insights |
| MCP09 | छायादार MCP सर्वर | API Center गवर्नेंस, नेटवर्क पृथक्करण |
| MCP10 | संदर्भ इंजेक्शन और अत्यधिक साझा करना | डेटा वर्गीकरण, न्यूनतम प्रकटीकरण |
MCP विशिष्टता प्रमाणीकरण और प्राधिकरण के अपने दृष्टिकोण में काफी विकसित हुई है:
- मूल दृष्टिकोण: प्रारंभिक विशिष्टताएँ डेवलपर्स को कस्टम प्रमाणीकरण सर्वर लागू करने के लिए कहती थीं, MCP सर्वर OAuth 2.0 प्राधिकरण सर्वर के रूप में कार्य करते थे जो सीधे उपयोगकर्ता प्रमाणीकरण प्रबंधित करते थे।
- वर्तमान मानक (2025-11-25): अद्यतन विशिष्टता MCP सर्वरों को बाहरी पहचान प्रदाताओं (जैसे Microsoft Entra ID) को प्रमाणीकरण सौंपने की अनुमति देती है, जिससे सुरक्षा स्थिति में सुधार और कार्यान्वयन जटिलता कम होती है।
- ट्रांसपोर्ट लेयर सुरक्षा: स्थानीय (STDIO) और दूरस्थ (Streamable HTTP) कनेक्शनों के लिए उचित प्रमाणीकरण पैटर्न के साथ सुरक्षित परिवहन तंत्र का संवर्धित समर्थन।
आधुनिक MCP कार्यान्वयन कई प्रमाणीकरण और प्राधिकरण चुनौतियों का सामना करते हैं:
- गलत कॉन्फ़िगर की गई प्राधिकरण लॉजिक: MCP सर्वरों में त्रुटिपूर्ण प्राधिकरण लागू करने से संवेदनशील डेटा उजागर हो सकता है और एक्सेस नियंत्रण गलत तरीके से लागू हो सकते हैं।
- OAuth टोकन समझौता: स्थानीय MCP सर्वर से टोकन चोरी करने से हमलावर सर्वर की नकल कर सकते हैं और डाउनस्ट्रीम सेवाओं तक पहुंच सकते हैं।
- टोकन पासथ्रू कमजोरियां: अनुचित टोकन हैंडलिंग सुरक्षा नियंत्रणों की बाइपास और जवाबदेही में अंतराल पैदा करती है।
- अधिकृत अनुमति (Excessive Permissions): अत्यधिक अधिकार प्राप्त MCP सर्वर न्यूनतम अधिकार सिद्धांत का उल्लंघन करते हैं और हमला सतह बढ़ाते हैं।
टोकन पासथ्रू वर्तमान MCP प्राधिकरण विशिष्टता में स्पष्ट रूप से प्रतिबंधित है क्योंकि इसके गंभीर सुरक्षा निहितार्थ हैं:
- MCP सर्वर और डाउनस्ट्रीम APIs महत्वपूर्ण सुरक्षा नियंत्रण (रेट लिमिटिंग, अनुरोध सत्यापन, ट्रैफ़िक निगरानी) लागू करते हैं जो उचित टोकन सत्यापन पर निर्भर करते हैं
- सीधे क्लाइंट से API टोकन उपयोग इन आवश्यक सुरक्षा उपायों को दरकिनार करता है, जिससे सुरक्षा वास्तुकला कमजोर होती है
- MCP सर्वर क्लाइंट द्वारा उपयोग किए गए अपस्ट्रीम-इश्यू किए गए टोकन में अंतर नहीं कर पाते, जिससे ऑडिट ट्रेल टूट जाती है
- डाउनस्ट्रीम रिसोर्स सर्वर लॉग अनुरोध के असली MCP सर्वर मध्यस्थों की बजाय ग़लत अनुरोध स्रोत दिखाते हैं
- घटना जांच और अनुपालन ऑडिटिंग काफी कठिन हो जाती है
- अप्रमाणित टोकन दावों के कारण चोरी किए गए टोकन के साथ दुर्भावनापूर्ण अभिनेताओं द्वारा MCP सर्वरों का प्रॉक्सी के रूप में दुरुपयोग संभव होता है
- ट्रस्ट सीमा उल्लंघन निर्दिष्ट सुरक्षा नियंत्रणों को दरकिनार करते हुए अनधिकृत पहुंच पैटर्न की अनुमति देते हैं
- समझौता किए गए टोकन कई सेवाओं द्वारा स्वीकार किए जाने पर जुड़े सिस्टम में पार्श्व गति संभव होती है
- जब टोकन मूलों की पुष्टि नहीं हो पाती तो सेवाओं के बीच ट्रस्ट मान्यताएं उल्लंघन हो सकती हैं
गंभीर सुरक्षा आवश्यकताएं:
अनिवार्य: MCP सर्वर को कोई भी ऐसा टोकन स्वीकार नहीं करना चाहिए जो स्पष्ट रूप से उस MCP सर्वर के लिए जारी न किया गया हो
-
कठोर प्राधिकरण समीक्षा: MCP सर्वर प्राधिकरण लॉजिक का व्यापक ऑडिट करें ताकि केवल इच्छित उपयोगकर्ता और क्लाइंट संवेदनशील संसाधनों तक पहुँच सकें
-
सुरक्षित टोकन प्रबंधन: Microsoft के टोकन सत्यापन और जीवनचक्र सर्वोत्तम प्रथाओं को लागू करें
- टोकन के लड़ाक पक्ष (audience) दावों का MCP सर्वर पहचान से मिलान करें
- उचित टोकन रोटेशन और समाप्ति नीतियां लागू करें
- टोकन पुन:प्रयोग हमलों और अनधिकृत उपयोग को रोकें
-
संरक्षित टोकन भंडारण: विश्राम और ट्रांसिट दोनों में एन्क्रिप्शन के साथ टोकन संग्रहण सुरक्षित करें
- सर्वोत्तम अभ्यास: सुरक्षित टोकन संग्रहण और एन्क्रिप्शन दिशानिर्देश
-
न्यूनतम अधिकार सिद्धांत: MCP सर्वरों को केवल आवश्यक फ़ंक्शन के लिए न्यूनतम अनुमतियां दें
- नियमित अनुमति समीक्षा और अद्यतन से अधिकार बढ़ने से रोकें
- Microsoft प्रलेखन: सुरक्षित न्यूनतम-प्रिविलेज पहुंच
-
रोल-आधारित एक्सेस कंट्रोल (RBAC): बारीक-ग्रेन्यूलर भूमिका असाइनमेंट लागू करें
- संसाधनों और क्रियाओं के लिए भूमिकाओं को कड़ी तरह बाँधें
- व्यापक या अनावश्यक अनुमतियों से बचें जो हमला सतह बढ़ाती हैं
-
लगातार अनुमति निगरानी: निरंतर एक्सेस ऑडिटिंग और निगरानी लागू करें
- अनुमति उपयोग पैटर्न की असामान्यता की निगरानी करें
- अत्यधिक या अप्रयुक्त अधिकारों को तुरंत ठीक करें
आधुनिक MCP कार्यान्वयन उन परिष्कृत AI-विशिष्ट हमलों के सामना करते हैं जिन्हें पारंपरिक सुरक्षा उपाय पूरी तरह संबोधित नहीं कर पाते:
अप्रत्यक्ष प्रांप्ट इंजेक्शन MCP-सक्षम AI सिस्टम में सबसे गंभीर कमजोरियों में से एक है। हमलावर बाहरी सामग्री—दस्तावेज़, वेब पेज, ईमेल, या डेटा स्रोतों—में दुर्भावनापूर्ण निर्देश छुपाते हैं जिन्हें बाद में AI सिस्टम वैध कमांड के रूप में संसाधित करता है।
हमला परिदृश्य:
- दस्तावेज़-आधारित इंजेक्शन: संसाधित दस्तावेजों में छिपे दुर्भावनापूर्ण निर्देश जो अनियोजित AI क्रियाएँ ट्रिगर करते हैं
- वेब सामग्री शोषण: दूषित वेब पेज जिसमें सम्मिलित प्रांप्ट होते हैं जो स्क्रैपिंग के दौरान AI व्यवहार को प्रभावित करते हैं
- ईमेल-आधारित हमले: ईमेल में दुर्भावनापूर्ण प्रांप्ट जो AI सहायकों को जानकारी लीक करने या अनधिकृत क्रियाएँ करने के लिए प्रेरित करते हैं
- डेटा स्रोत दुष्प्रभाव: दूषित डेटाबेस या APIs जो AI सिस्टम को दूषित सामग्री प्रदान करते हैं
वास्तविक प्रभाव: ये हमले डेटा रिसाव, गोपनीयता उल्लंघन, हानिकारक सामग्री निर्माण, और उपयोगकर्ता इंटरैक्शन के हेरफेर का कारण बन सकते हैं। विस्तृत विश्लेषण के लिए देखें Prompt Injection in MCP (Simon Willison)।
टूल पॉइज़निंग MCP टूल्स को परिभाषित करने वाले मेटाडेटा को लक्षित करता है, जो यह दुरुपयोग करता है कि LLMs टूल विवरण और पैरामीटर को समझकर निष्पादन निर्णय लेते हैं।
हमला मैकेनिज़म:
- मेटाडेटा हेरफेर: हमलावर टूल विवरण, पैरामीटर परिभाषाओं, या उपयोग उदाहरणों में दुर्भावनापूर्ण निर्देश इंजेक्ट करते हैं
- अदृश्य निर्देश: छुपे हुए प्रांप्ट जो AI मॉडल द्वारा संसाधित होते हैं लेकिन मानव उपयोगकर्ताओं के लिए अदृश्य रहते हैं
- गतिशील टूल संशोधन ("रग पुल्स"): उपयोगकर्ताओं द्वारा अनुमोदित टूल बाद में बदले जाते हैं ताकि बिना उपयोगकर्ता की जानकारी के दुर्भावनापूर्ण क्रियाएं की जा सकें
- पैरामीटर इंजेक्शन: टूल पैरामीटर स्कीमाओं में छुपा दुर्भावनापूर्ण कंटेंट जो मॉडल व्यवहार को प्रभावित करता है
होस्टेड सर्वर जोखिम: दूरस्थ MCP सर्वर जोखिम बढ़ाते हैं क्योंकि टूल परिभाषाओं को आरंभिक उपयोगकर्ता अनुमोदन के बाद अपडेट किया जा सकता है, जिससे पहले सुरक्षित टूल्स दुर्भावनापूर्ण बन सकते हैं। व्यापक विश्लेषण के लिए देखें Tool Poisoning Attacks (Invariant Labs)।
- क्रॉस-डोमेन प्रांप्ट इंजेक्शन (XPIA): परिष्कृत हमले जो कई डोमेन की सामग्री का उपयोग कर सुरक्षा नियंत्रणों को बायपास करते हैं।
- डायनेमिक क्षमता संशोधन: उपकरण क्षमताओं में वास्तविक समय में बदलाव जो प्रारंभिक सुरक्षा आकलनों से बच जाते हैं
- संदर्भ विंडो विषाक्तता: बड़े संदर्भ विंडो को दुर्भावनापूर्ण निर्देशों को छिपाने के लिए नियंत्रित करने वाले हमले
- मॉडल भ्रम हमले: अप्रत्याशित या असुरक्षित व्यवहार उत्पन्न करने के लिए मॉडल की सीमाओं का शोषण
उच्च-प्रभाव परिणाम:
- डेटा चोरी: संवेदनशील एंटरप्राइज या व्यक्तिगत डेटा तक अनधिकृत पहुंच और चोरी
- गोपनीयता उल्लंघन: व्यक्तिगत पहचान योग्य जानकारी (PII) और गोपनीय व्यावसायिक डेटा का खुलासा
- सिस्टम हेरफेर: महत्वपूर्ण प्रणालियों और कार्यप्रवाहों में अनपेक्षित परिवर्तन
- प्रमाणीकरण चोरारी: प्रमाणीकरण टोकन और सेवा क्रेडेंशियल्स का समझौता
- पार्श्वीय आंदोलन: व्यापक नेटवर्क हमलों के लिए समझौता किए गए AI सिस्टम का उपयोग
Microsoft AI प्रॉम्प्ट शील्ड्स कई सुरक्षा परतों के माध्यम से सीधे और अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हमलों के खिलाफ व्यापक रक्षा प्रदान करते हैं:
-
उन्नत पहचान और फ़िल्टरिंग
- मशीन लर्निंग एल्गोरिदम और NLP तकनीकें बाहरी सामग्री में दुर्भावनापूर्ण निर्देशों का पता लगाती हैं
- दस्तावेज़ों, वेब पृष्ठों, ईमेल और डेटा स्रोतों का रीयल-टाइम विश्लेषण एम्बेडेड खतरों के लिए
- वैध बनाम दुर्भावनापूर्ण प्रॉम्प्ट पैटर्न की संदर्भगत समझ
-
स्पॉटलाईटिंग तकनीकें
- विश्वसनीय सिस्टम निर्देशों और संभावित समझौता किए गए बाहरी इनपुट के बीच भेद करती हैं
- टेक्स्ट रूपांतरण विधियां जो मॉडल प्रासंगिकता बढ़ाती हैं जबकि दुर्भावनापूर्ण सामग्री को अलग करती हैं
- AI सिस्टम को उचित निर्देश पदानुक्रम बनाए रखने और इंजेक्ट किए गए आदेशों को नजरअंदाज करने में मदद करता है
-
डेलीमीटर और डेटा मार्किंग सिस्टम
- विश्वसनीय सिस्टम संदेशों और बाहरी इनपुट टेक्स्ट के बीच स्पष्ट सीमा परिभाषा
- विशेष मार्कर जो विश्वसनीय और अविश्वसनीय डेटा स्रोतों के बीच सीमाएं उजागर करते हैं
- स्पष्ट पृथक्करण निर्देश भ्रम और अनधिकृत आदेश निष्पादन को रोकता है
-
निरंतर खतरा बुद्धिमत्ता
- Microsoft लगातार उभरते हमले पैटर्न की निगरानी करता है और सुरक्षा को अपडेट करता है
- नई इंजेक्शन तकनीकों और हमले वेक्टर के लिए सक्रिय खतरा शिकार
- विकसित हो रहे खतरों के खिलाफ प्रभावशीलता बनाए रखने के लिए नियमित सुरक्षा मॉडल अपडेट
-
Azure सामग्री सुरक्षा एकीकरण
- व्यापक Azure AI सामग्री सुरक्षा सूट का हिस्सा
- जेलब्रेक प्रयासों, हानिकारक सामग्री, और सुरक्षा नीति उल्लंघनों के लिए अतिरिक्त पहचान
- AI अनुप्रयोग घटकों में एकीकृत सुरक्षा नियंत्रण
कार्यान्वयन संसाधन: Microsoft Prompt Shields Documentation
सेशन हाईजैकिंग स्टेटफुल MCP कार्यान्वयन में महत्वपूर्ण हमला वेक्टर है जहाँ अनधिकृत पक्ष वैध सेशन आइडेंटिफायर्स प्राप्त कर क्लाइंट्स की नकल करके अनधिकृत कार्य करते हैं।
- सेशन हाईजैक प्रॉम्प्ट इंजेक्शन: चुराए गए सेशन IDs के साथ हमलावर सर्वर में दुर्भावनापूर्ण इवेंट इंजेक्ट करते हैं जो सेशन स्टेट साझा करते हैं, संभावित रूप से हानिकारक क्रियाएं उत्पन्न या संवेदनशील डेटा एक्सेस कर सकते हैं
- प्रत्यक्ष नकल: चोरी गए सेशन IDs से प्रमाणीकरण से बचने वाले सीधे MCP सर्वर कॉल संभव होते हैं, हमलावरों को वैध उपयोगकर्ताओं के रूप में मानते हुए
- समझौता किए गए रेस्यूमेबल स्ट्रीम्स: हमलावर अनुरोध समय से पहले समाप्त कर सकते हैं, जिससे वैध क्लाइंट्स संभावित रूप से हानिकारक सामग्री के साथ पुनः शुरू होते हैं
महत्वपूर्ण आवश्यकताएं:
- प्राधिकरण सत्यापन: MCP सर्वर जो प्राधिकरण लागू करते हैं उन्हें सभी इनबाउंड अनुरोधों का सत्यापन करना चाहिए और प्रमाण-पत्र के लिए सेशनों पर निर्भर नहीं होना चाहिए
- सुरक्षित सेशन निर्माण: क्रिप्टोग्राफिक दृष्टि से सुरक्षित, गैर-नियतात्मक सेशन IDs का उपयोग करना जो सुरक्षित रैंडम नंबर जनरेटर से उत्पन्न हों
- उपयोगकर्ता-विशिष्ट प्रतिबंध: क्रॉस-उपयोगकर्ता सेशन दुरुपयोग रोकने के लिए सेशन IDs को
<user_id>:<session_id>जैसे प्रारूप में उपयोगकर्ता-विशिष्ट जानकारी से बांधना - सेशन जीवनचक्र प्रबंधन: कमजोरियों की अवधि को सीमित करने के लिए उचित समाप्ति, घुमाव, और अमान्यकरण लागू करना
- परिवहन सुरक्षा: सेशन ID इंटरसेप्शन को रोकने के लिए सभी संचार के लिए अनिवार्य HTTPS
भ्रमित डिप्टी समस्या उस स्थिति में होती है जब MCP सर्वर क्लाइंट्स और तृतीय-पक्ष सेवाओं के बीच प्रमाणीकरण प्रॉक्सी के रूप में कार्य करते हैं, जिससे स्थैतिक क्लाइंट ID के दुरुपयोग के माध्यम से प्राधिकरण बाईपास के अवसर मिलते हैं।
- कुकी-आधारित सहमति बाईपास: पूर्व उपयोगकर्ता प्रमाणीकरण सहमति कुकी बनाता है जिनका हमलावर हानिकारक प्राधिकरण अनुरोधों में कस्टम रीडायरेक्ट URI के साथ दुरुपयोग करते हैं
- प्राधिकरण कोड चोरी: मौजूदा सहमति कुकी प्राधिकरण सर्वर को सहमति स्क्रीन छोड़ने में प्रेरित कर सकती है, कोड को हमलावर-नियंत्रित एंडपॉइंट्स पर रीडायरेक्ट करना
- अनधिकृत API पहुंच: चोरी गए प्राधिकरण कोड टोकन एक्सचेंज और उपयोगकर्ता नकल को बिना स्पष्ट स्वीकृति के सक्षम करते हैं
अनिवार्य नियंत्रण:
- स्पष्ट सहमति आवश्यकताएं: स्थैतिक क्लाइंट ID वाले MCP प्रॉक्सी सर्वर को प्रत्येक गतिशील पंजीकृत क्लाइंट के लिए उपयोगकर्ता सहमति प्राप्त करनी चाहिए
- OAuth 2.1 सुरक्षा कार्यान्वयन: सभी प्राधिकरण अनुरोधों के लिए PKCE (प्रूफ की फॉर कोड एक्सचेंज) समेत नवीनतम OAuth सुरक्षा सर्वोत्तम प्रथाओं का पालन करें
- कड़ाई से क्लाइंट सत्यापन: शोषण रोकने के लिए रीडायरेक्ट URI और क्लाइंट पहचानकर्ताओं का कड़ा सत्यापन लागू करें
टोकन पासथ्रू एक स्पष्ट एंटी-पैटर्न है जहाँ MCP सर्वर क्लाइंट टोकन बिना सही सत्यापन के स्वीकार करता है और उन्हें डाउनस्ट्रीम APIs को अग्रेषित करता है, जो MCP प्राधिकरण विनिर्देशों का उल्लंघन है।
- नियंत्रण विध्वंस: सीधे क्लाइंट-टू-API टोकन उपयोग महत्वपूर्ण दर-सीमा, सत्यापन, और निगरानी नियंत्रणों से बच जाता है
- ऑडिट ट्रेल भ्रष्टाचार: ऊपर-स्तर पर जारी टोकन क्लाइंट की पहचान को असंभव बनाते हैं, घटना जांच क्षमताओं को बाधित करते हैं
- प्रॉक्सी-आधारित डेटा चोरी: सत्यापित न किए गए टोकन दुर्भावनापूर्ण अभिनेताओं को सर्वर का उपयोग अवैध डेटा पहुंच के लिए प्रॉक्सी के रूप में करने देते हैं
- ट्रस्ट बॉउन्ड्री उल्लंघन: जब टोकन मूल सत्यापित नहीं हो पाते तब डाउनस्ट्रीम सेवाओं के ट्रस्ट मान्यताएँ उल्लंघित हो सकती हैं
- मल्टी-सेवा हमला विस्तार: कई सेवाओं में स्वीकार किए गए समझौता किए गए टोकन पार्श्वीय आंदोलन सक्षम करते हैं
बिना छूट के आवश्यकताएं:
- टोकन सत्यापन: MCP सर्वर केवल उन टोकन को स्वीकार करें जो स्पष्ट रूप से MCP सर्वर के लिए जारी किए गए हों
- दर्शक सत्यापन: हमेशा टोकन दर्शक दावे को MCP सर्वर की पहचान से मिलान करें
- सही टोकन जीवनचक्र: सुरक्षित घुमाव प्रथाओं के साथ कम अवधि वाले एक्सेस टोकन लागू करें
सप्लाई चैन सुरक्षा पारंपरिक सॉफ्टवेयर निर्भरताओं से आगे बढ़कर पूरे AI पारिस्थितिकी तंत्र को शामिल करती है। आधुनिक MCP कार्यान्वयन को सभी AI-संबंधित घटकों को कड़ाई से सत्यापित और मॉनिटर करना आवश्यक है, क्योंकि प्रत्येक में ऐसी संभावित कमजोरियां होती हैं जो सिस्टम अखंडता को खतरे में डाल सकती हैं।
परंपरागत सॉफ्टवेयर निर्भरता:
- ओपन-सोर्स लाइब्रेरीज़ और फ्रेमवर्क
- कंटेनर इमेज और बेस सिस्टम
- विकास उपकरण और बिल्ड पाइपलाइन्स
- इन्फ्रास्ट्रक्चर घटक और सेवाएं
AI-विशिष्ट सप्लाई चैन तत्व:
- फाउंडेशन मॉडल्स: विभिन्न प्रदाताओं से पूर्व-प्रशिक्षित मॉडल जिनकी उत्पत्ति सत्यापन आवश्यक है
- एम्बेडिंग सेवाएं: बाहरी वेक्टोराइज़ेशन और सिमेंटिक खोज सेवाएं
- संदर्भ प्रदाता: डेटा स्रोत, ज्ञान आधार और दस्तावेज़ भंडार
- तृतीय-पक्ष API: बाहरी AI सेवाएं, ML पाइपलाइन्स, और डेटा प्रोसेसिंग एंडपॉइंट्स
- मॉडल आर्टिफैक्ट्स: वज़न, विन्यास, और फाइन-ट्यून किए गए मॉडल वेरिएंट
- प्रशिक्षण डेटा स्रोत: मॉडल प्रशिक्षण और फाइन-ट्यूनिंग के लिए उपयोग किए गए डेटासेट
- उत्पत्ति सत्यापन: सभी AI घटकों के स्रोत, लाइसेंसिंग, और अखंडता का इंटीग्रेशन से पहले सत्यापन
- सुरक्षा मूल्यांकन: मॉडलों, डेटा स्रोतों, और AI सेवाओं के लिए कमजोरियों के स्कैन और सुरक्षा समीक्षा
- प्रतिष्ठा विश्लेषण: AI सेवा प्रदाताओं के सुरक्षा ट्रैक रिकॉर्ड और प्रथाओं का मूल्यांकन
- अनुपालन सत्यापन: सुनिश्चित करें कि सभी घटक संगठन की सुरक्षा और नियामक आवश्यकताओं को पूरा करते हैं
- स्वचालित CI/CD सुरक्षा: स्वचालित तैनाती पाइपलाइन्स में पूरी सुरक्षा स्कैनिंग एकीकृत करें
- आर्टिफैक्ट अखंडता: सभी तैनात आर्टिफैक्ट्स (कोड, मॉडल, विन्यास) के लिए क्रिप्टोग्राफिक सत्यापन लागू करें
- चरणबद्ध तैनाती: प्रत्येक चरण में सुरक्षा पुष्टि के साथ प्रगतिशील तैनाती रणनीतियाँ उपयोग करें
- विश्वसनीय आर्टिफैक्ट रिपॉजिटरीज: केवल सत्यापित, सुरक्षित आर्टिफैक्ट रिपॉजिटरीज से तैनाती करें
- निर्भरता स्कैनिंग: सभी सॉफ्टवेयर और AI घटक निर्भरताओं के लिए सतत कमजोरियों की निगरानी
- मॉडल मॉनिटरिंग: मॉडल व्यवहार, प्रदर्शन विचलन, और सुरक्षा विसंगतियों का लगातार आकलन
- सेवा स्वास्थ्य ट्रैकिंग: बाहरी AI सेवाओं की उपलब्धता, सुरक्षा घटनाओं, और नीति परिवर्तनों की निगरानी
- खतरा बुद्धिमत्ता एकीकरण: AI और ML सुरक्षा जोखिमों के लिए विशिष्ट खतरा फीड्स को शामिल करना
- घटक-स्तर अनुमतियां: व्यावसायिक आवश्यकता के आधार पर मॉडल, डेटा, और सेवाओं तक पहुंच सीमित करें
- सेवा खाता प्रबंधन: न्यूनतम आवश्यक अनुमतियों के साथ समर्पित सेवा खाते लागू करें
- नेटवर्क विभाजन: AI घटकों को अलग करें और सेवाओं के बीच नेटवर्क पहुंच सीमित करें
- API गेटवे नियंत्रण: बाहरी AI सेवाओं तक पहुंच नियंत्रित करने और मॉनिटर करने के लिए केंद्रीकृत API गेटवे का उपयोग करें
- त्वरित प्रतिक्रिया प्रक्रियाएँ: समझौता किए गए AI घटकों के पैचिंग या प्रतिस्थापन के लिए स्थापित प्रक्रियाएँ
- क्रेडेंशियल घुमाव: रहस्यों, API कुंजियों, और सेवा क्रेडेंशियल्स को घुमाने के लिए स्वचालित सिस्टम
- रोलबैक क्षमताएं: AI घटकों के पूर्व ज्ञात-सही संस्करणों पर जल्दी से वापस लौटने की क्षमता
- सप्लाई चैन उल्लंघन पुनर्प्राप्ति: अपस्ट्रीम AI सेवा समझौतों के लिए विशिष्ट प्रतिक्रिया प्रक्रियाएँ
GitHub Advanced Security व्यापक सप्लाई चैन सुरक्षा प्रदान करता है जिसमें शामिल हैं:
- सीक्रेट स्कैनिंग: रिपॉजिटरीज में क्रेडेंशियल्स, API कुंजी, और टोकन का स्वचालित पता लगाना
- निर्भरता स्कैनिंग: ओपन-सोर्स निर्भरताओं और लाइब्रेरीज़ के लिए कमजोरियों का मूल्यांकन
- CodeQL विश्लेषण: सुरक्षा कमजोरियों और कोडिंग मुद्दों के लिए स्थिर कोड विश्लेषण
- सप्लाई चैन इनसाइट्स: निर्भरता स्वास्थ्य और सुरक्षा स्थिति की दृश्यता
Azure DevOps और Azure Repos एकीकरण:
- Microsoft विकास प्लेटफॉर्म्स में सुरक्षा स्कैनिंग का सहज एकीकरण
- AI कार्यभार के लिए Azure पाइपलाइन्स में स्वचालित सुरक्षा जांच
- सुरक्षित AI घटक तैनाती के लिए नीति प्रवर्तन
Microsoft आंतरिक प्रथाएं: Microsoft सभी उत्पादों में व्यापक सप्लाई चैन सुरक्षा प्रथाएं लागू करता है। The Journey to Secure the Software Supply Chain at Microsoft में प्रमाणित दृष्टिकोणों के बारे में जानें।
MCP कार्यान्वयन आपके संगठन की मौजूदा सुरक्षा स्थिति को अपनाते और उस पर निर्माण करते हैं। बुनियादी सुरक्षा प्रथाओं को मजबूत करना AI सिस्टम और MCP तैनाती की समग्र सुरक्षा को महत्वपूर्ण रूप से बढ़ाता है।
- OWASP अनुपालन: OWASP टॉप 10 वेब एप्लिकेशन कमजोरियों से सुरक्षा
- AI-विशिष्ट सुरक्षा: LLMs के लिए OWASP टॉप 10 के लिए नियंत्रण लागू करना
- सिकरेट्स प्रबंधन: टोकन, API कुंजी, और संवेदनशील विन्यास डेटा के लिए समर्पित वॉल्ट का उपयोग
- एंड-टू-एंड एन्क्रिप्शन: सभी एप्लिकेशन घटकों और डेटा प्रवाहों में सुरक्षित संचार लागू करना
- इनपुट सत्यापन: सभी उपयोगकर्ता इनपुट, API पैरामीटर, और डेटा स्रोतों का कठोर सत्यापन
- मल्टी-फैक्टर प्रमाणीकरण: सभी प्रशासनिक और सेवा खातों के लिए अनिवार्य MFA
- पैच प्रबंधन: ऑपरेटिंग सिस्टम, फ्रेमवर्क, और निर्भरताओं के लिए स्वचालित, समय पर पैचिंग
- पहचान प्रदाता एकीकरण: उद्यम पहचान प्रदाताओं (Microsoft Entra ID, Active Directory) के माध्यम से केंद्रीकृत पहचान प्रबंधन
- नेटवर्क विभाजन: पार्श्वीय आंदोलन की संभावनाएं सीमित करने के लिए MCP घटकों का तार्किक पृथक्करण
- न्यूनतम विशेषाधिकार सिद्धांत: सभी सिस्टम घटकों और खातों के लिए न्यूनतम आवश्यक अनुमतियां
- विस्तृत लॉगिंग: AI एप्लिकेशन गतिविधियों सहित MCP क्लाइंट-सर्वर इंटरैक्शन का विस्तृत लॉगिंग
- SIEM एकीकरण: विषमता पहचान के लिए केंद्रीकृत सुरक्षा सूचना और घटना प्रबंधन
- व्यवहार विश्लेषण: सिस्टम और उपयोगकर्ता व्यवहार में असामान्य पैटर्न का पता लगाने के लिए AI संचालित निगरानी
- खतरा बुद्धिमत्ता: बाहरी खतरा फीड्स और समझौता संकेतकों (IOC) का समामेलन
- घटना प्रतिक्रिया: सुरक्षा घटना की पहचान, प्रतिक्रिया, और पुनर्प्राप्ति के लिए सुव्यवस्थित प्रक्रियाएं
- कभी भरोसा न करें, हमेशा सत्यापित करें: उपयोगकर्ताओं, उपकरणों, और नेटवर्क कनेक्शनों का निरंतर सत्यापन
- माइक्रो-सेगमेंटेशन: व्यक्तिगत कार्यभार और सेवाओं को अलग करने वाले सूक्ष्म नेटवर्क नियंत्रण
- पहचान-केंद्रित सुरक्षा: नेटवर्क स्थान के बजाय सत्यापित पहचानों पर आधारित सुरक्षा नीतियां
- निरंतर जोखिम मूल्यांकन: वर्तमान संदर्भ और व्यवहार के आधार पर गतिशील सुरक्षा स्थिति मूल्यांकन
- सशर्त पहुंच: जोखिम कारकों, स्थान, और उपकरण भरोसे के आधार पर अनुकूलित पहुंच नियंत्रण
- Microsoft Defender for Cloud: व्यापक क्लाउड सुरक्षा स्थिति प्रबंधन
- Azure Sentinel: AI कार्यभार सुरक्षा के लिए क्लाउड-नेटिव SIEM और SOAR क्षमताएं
- Microsoft Entra ID: सशर्त पहुंच नीतियों के साथ उद्यम पहचान और पहुंच प्रबंधन
- Azure Key Vault: हार्डवेयर सुरक्षा मॉड्यूल (HSM) समर्थन के साथ केंद्रीकृत गुप्त प्रबंधन
- Microsoft Purview: AI डेटा स्रोतों और कार्यप्रवाहों के लिए डेटा गवर्नेंस और अनुपालन
- नियमकीय संरेखण: सुनिश्चित करें कि MCP कार्यान्वयन उद्योग-विशिष्ट अनुपालन आवश्यकताओं (GDPR, HIPAA, SOC 2) को पूरा करें
- डेटा वर्गीकरण: AI सिस्टम द्वारा संसाधित संवेदनशील डेटा का उचित वर्गीकरण और प्रबंधन
- ऑडिट ट्रेल्स: नियामक अनुपालन और फोरेंसिक जांच के लिए व्यापक लॉगिंग
- गोपनीयता नियंत्रण: AI सिस्टम आर्किटेक्चर में गोपनीयता-बाय-डिज़ाइन सिद्धांतों का कार्यान्वयन
- परिवर्तन प्रबंधन: AI सिस्टम परिवर्तनों की सुरक्षा समीक्षाओं के लिए औपचारिक प्रक्रियाएं
ये मूलभूत प्रथाएं एक मजबूत सुरक्षा आधार बनाती हैं जो MCP-विशिष्ट सुरक्षा नियंत्रणों की प्रभावशीलता को बढ़ाती हैं और AI-संचालित अनुप्रयोगों के लिए व्यापक सुरक्षा प्रदान करती हैं।
-
सतहीकृत सुरक्षा दृष्टिकोण: बुनियादी सुरक्षा प्रथाओं (सुरक्षित कोडिंग, न्यूनतम विशेषाधिकार, आपूर्ति श्रृंखला सत्यापन, निरंतर निगरानी) को एआई-विशिष्ट नियंत्रणों के साथ जोड़कर व्यापक सुरक्षा प्रदान करें
-
एआई-विशिष्ट खतरे का परिदृश्य: MCP सिस्टम विशिष्ट जोखिमों का सामना करते हैं जिनमें प्रॉम्प्ट इंजेक्शन, उपकरण विषाक्तता, सत्र अपहरण, भ्रमित डेप्यू समस्या, टोकन पासथ्रू कमजोरियां, और अत्यधिक अनुमतियां शामिल हैं जिनके लिए विशेष निवारक उपाय आवश्यक हैं
-
प्रमाणीकरण एवं प्राधिकरण उत्कृष्टता: बाहरी पहचान प्रदाताओं (Microsoft Entra ID) का उपयोग कर मजबूत प्रमाणीकरण लागू करें, उचित टोकन सत्यापन लागू करें, और कभी भी ऐसे टोकन स्वीकार न करें जो स्पष्ट रूप से आपके MCP सर्वर के लिए जारी न किए गए हों
-
एआई हमला प्रतिबंधन: Microsoft Prompt Shields और Azure Content Safety का उपयोग अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन और उपकरण विषाक्तता हमलों से रक्षा के लिए करें, उपकरण मेटाडेटा का सत्यापन करें और गतिशील परिवर्तनों की निगरानी करें
-
सत्र एवं परिवहन सुरक्षा: क्रिप्टोग्राफिक रूप से सुरक्षित, गैर-नियतात्मक सत्र आईडी उपयोग करें जो उपयोगकर्ता पहचान से बंधे हों, उचित सत्र जीवनचक्र प्रबंधन लागू करें, और प्रमाणीकरण के लिए कभी भी सत्रों का उपयोग न करें
-
OAuth सुरक्षा सर्वोत्तम प्रथाएँ: स्पष्ट उपयोगकर्ता सहमति के माध्यम से भ्रमित डेप्यू हमलों को रोकें, PKCE के साथ उचित OAuth 2.1 कार्यान्वयन करें, और कड़ाई से रीडायरेक्ट URI सत्यापन करें
-
टोकन सुरक्षा सिद्धांत: टोकन पासथ्रू एंटी-पैटर्न से बचें, टोकन दर्शक दावों का सत्यापन करें, सुरक्षित घुमाव के साथ अल्पकालिक टोकन लागू करें, और स्पष्ट ट्रस्ट सीमाएं बनाए रखें
-
व्यापक आपूर्ति श्रृंखला सुरक्षा: सभी एआई पारिस्थितिकी तंत्र घटकों (मॉडल, एंबेडिंग, संदर्भ प्रदाता, बाहरी एपीआई) को पारंपरिक सॉफ़्टवेयर निर्भरताओं के समान सुरक्षा कठोरता के साथ संभालें
-
निरंतर विकास: तेजी से विकसित हो रहे MCP विनिर्देशों के साथ अद्यतित रहें, सुरक्षा समुदाय मानकों में योगदान दें, और प्रोटोकॉल के परिपक्व होने के अनुसार अनुकूलन सुरक्षा स्थिति बनाए रखें
-
Microsoft सुरक्षा एकीकरण: MCP तैनाती सुरक्षा के लिए Microsoft के व्यापक सुरक्षा पारिस्थितिकी तंत्र (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) का लाभ उठाएं
- MCP विनिर्देश (वर्तमान: 2025-11-25)
- MCP सुरक्षा सर्वोत्तम प्रथाएँ
- MCP प्राधिकरण विनिर्देश
- MCP GitHub रिपॉजिटरी
- OWASP MCP Azure सुरक्षा गाइड - व्यापक OWASP MCP शीर्ष 10 के साथ Azure कार्यान्वयन मार्गदर्शन
- OWASP MCP शीर्ष 10 - आधिकारिक OWASP MCP सुरक्षा जोखिम
- MCP सुरक्षा सम्मेलन कार्यशाला (Sherpa) - Azure पर MCP के लिए व्यावहारिक सुरक्षा प्रशिक्षण
- OAuth 2.0 सुरक्षा सर्वोत्तम प्रथाएँ (RFC 9700)
- OWASP शीर्ष 10 वेब एप्लिकेशन सुरक्षा
- OWASP बड़े भाषा मॉडल के लिए शीर्ष 10
- Microsoft डिजिटल डिफेंस रिपोर्ट
- MCP में प्रॉम्प्ट इंजेक्शन (Simon Willison)
- उपकरण विषाक्तता हमले (Invariant Labs)
- MCP सुरक्षा अनुसंधान ब्रीफिंग (Wiz Security)
- Microsoft Prompt Shields प्रलेखन
- Azure Content Safety सेवा
- Microsoft Entra ID सुरक्षा
- Azure टोकन प्रबंधन सर्वोत्तम प्रथाएँ
- GitHub उन्नत सुरक्षा
- Azure API प्रबंधन MCP प्रमाणीकरण गेटवे के रूप में
- Microsoft Entra ID के साथ MCP सर्वर प्रमाणीकरण
- सुरक्षित टोकन भंडारण और एन्क्रिप्शन (वीडियो)
व्यापक सुरक्षा मार्गदर्शन के लिए, इस अनुभाग में इन विशिष्ट दस्तावेज़ों को देखें:
- MCP सुरक्षा सर्वोत्तम प्रथाएँ 2025 - MCP कार्यान्वयन के लिए पूर्ण सुरक्षा सर्वोत्तम प्रथाएँ
- Azure Content Safety कार्यान्वयन - Azure Content Safety एकीकरण के लिए व्यावहारिक कार्यान्वयन उदाहरण
- MCP सुरक्षा नियंत्रण 2025 - MCP तैनाती के लिए नवीनतम सुरक्षा नियंत्रण और तकनीकें
- MCP सर्वोत्तम प्रथाएँ त्वरित संदर्भ - आवश्यक MCP सुरक्षा प्रथाओं के लिए त्वरित संदर्भ गाइड
- MCP सुरक्षा सम्मेलन कार्यशाला (Sherpa) - Azure में MCP सर्वरों की सुरक्षा के लिए व्यापक व्यावहारिक कार्यशाला, बेस कैंप से समिट तक प्रगतिशील शिविरों के साथ
- OWASP MCP Azure सुरक्षा गाइड - सभी OWASP MCP शीर्ष 10 जोखिमों के लिए संदर्भ वास्तुकला और कार्यान्वयन मार्गदर्शन
अगला: अध्याय 3: आरंभ करना
अस्वीकरण: यह दस्तावेज़ एआई अनुवाद सेवा Co-op Translator का उपयोग करके अनूदित किया गया है। जबकि हम सटीकता के लिए प्रयासरत हैं, कृपया ध्यान दें कि स्वचालित अनुवाद में त्रुटियाँ या गलतियां हो सकती हैं। इसके मूल भाषा में मूल दस्तावेज़ को आधिकारिक स्रोत माना जाना चाहिए। महत्वपूर्ण जानकारी के लिए पेशेवर मानव अनुवाद की सिफारिश की जाती है। इस अनुवाद के उपयोग से उत्पन्न किसी भी गलतफहमी या गलत व्याख्या के लिए हम उत्तरदायी नहीं हैं।