(ਇਸ ਪਾਠ ਦੀ ਵੀਡੀਓ ਦੇਖਣ ਲਈ ਉਪਰ ਦਿੱਤੀ ਫੋਟੋ 'ਤੇ ਕਲਿਕ ਕਰੋ)
ਸੁਰੱਖਿਆ AI ਸਿਸਟਮ ਡਿਜ਼ਾਈਨ ਲਈ ਮੂਲ ਹੈ, ਇਸ ਲਈ ਅਸੀਂ ਇਸਨੂੰ ਆਪਣੇ ਦੂਜੇ ਸੈਕਸ਼ਨ ਵਜੋਂ ਪ੍ਰਾਥਮਿਕਤਾ ਦਿੰਦے ਹਾਂ। ਇਹ ਮਾਇਕਰੋਸਾਫਟ ਦੇ ਸੇਕਿਊਰ ਫਿਊਚਰ ਇਨਿਸੀਏਟਿਵ ਦੇ ਡਿਜ਼ਾਈਨ ਦੁਆਰਾ ਸੁਰੱਖਿਆਸਿਧਾਂਤ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ।
ਮਾਡਲ ਕੋਂਟੈਕਸਟ ਪ੍ਰੋਟੋਕਾਲ (MCP) AI-ਚਲਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਸ਼ਕਤੀਸ਼ਾਲੀ ਨਵੀਆਂ ਸਮਰੱਥਾਵਾਂ ਲਿਆਉਂਦਾ ਹੈ, ਪਰ ਇਹ ਪਰੰਪਰਾਕ ਸੌਫਟਵੇਅਰ ਜੋਖਮਾਂ ਤੋਂ ਅਗੇ ਨਵੀਆਂ ਵਿਲੱਖਣ ਸੁਰੱਖਿਆ ਚੁਣੌਤੀਆਂ ਪੈਦਾ ਕਰਦਾ ਹੈ। MCP ਸਿਸਟਮ ਵੈਦ ਸੁਰੱਖਿਆ ਮੁੱਦਿਆਂ (ਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ, ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ, ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ) ਨੂੰ ਸਾਹਮਣਾ ਕਰਦੇ ਹਨ ਅਤੇ ਨਾਲ ਹੀ ਨਵੇਂ AI-ਵਿਸੇਸ਼ ਜੋਖਮਾਂ ਵਰਗੇ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ, ਟੂਲ ਪੋਇਜ਼ਨਿੰਗ, ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ, ਕੁਝ ਗੁੰਝਲਦਾਰ ਡਿਊਟੀ ਹਮਲੇ, ਟੋਕਨ ਪਾਸਥਰੂ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਡਾਇਨੈਮਿਕ ਸਮਰੱਥਾ ਸੋਧਾਂ ਦਾ ਵੀ ਸਾਹਮਣਾ ਕਰਦੇ ਹਨ।
ਇਹ ਪਾਠ MCP ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦੀ ਜਾਂਚ ਕਰੇਗਾ—ਜਿਵੇਂ ਪ੍ਰਮਾਣਿਕੀਕਰਨ, ਅਧਿਕਾਰ, ਅਤਿ ਅਧਿਕ ਅਨੁਮਤੀਆਂ, ਅਪਰੋਕਸੀ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ, ਸੈਸ਼ਨ ਸੁਰੱਖਿਆ, ਕੁਝ ਗੁੰਝਲਦਾਰ ਡਿਊਟੀ ਸਮੱਸਿਆਵਾਂ, ਟੋਕਨ ਪ੍ਰਬੰਧਨ ਤੇ ਸਪਲਾਈ ਚੇਨ ਕਮਜ਼ੋਰੀਆਂ। ਤੁਸੀਂ ਕਾਰਗਰ ਕੰਟਰੋਲ ਅਤੇ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਸਿੱਖੋਗੇ ਜਿਨ੍ਹਾਂ ਨਾਲ ਇਹ ਖ਼ਤਰੇ ਘਟਾਏ ਜਾ ਸਕਦੇ ਹਨ, ਅਤੇ ਮਾਇਕਰੋਸਾਫਟ ਦੇ ਹੱਲਾਂ ਜਿਵੇਂ Prompt Shields, Azure Content Safety ਅਤੇ GitHub Advanced Security ਨੂੰ ਵਰਤ ਕੇ ਆਪਣੇ MCP ਤੈਨਾਤੀ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰ ਸਕਦੇ ਹੋ।
ਇਸ ਪਾਠ ਦੇ ਅੰਤ ਤਕ, ਤੁਸੀਂ ਸਮਰੱਥ ਹੋਵੋਗੇ:
- MCP-ਵਿਸੇਸ਼ ਖ਼ਤਰੇ ਪਛਾਣੋ: MCP ਸਿਸਟਮਾਂ ਵਿੱਚ ਵਿਲੱਖਣ ਸੁਰੱਖਿਆ ਖ਼ਤਰਿਆਂ ਜਿਵੇਂ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ, ਟੂਲ ਪੋਇਜ਼ਨਿੰਗ, ਅਤਿ ਅਧਿਕ ਅਨੁਮਤੀਆਂ, ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ, ਕੁਝ ਗੁੰਝਲਦਾਰ ਡਿਊਟੀ ਸਮੱਸਿਆਵਾਂ, ਟੋਕਨ ਪਾਸਥਰੂ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਸਪਲਾਈ ਚੇਨ ਖ਼ਤਰੇ ਪਛਾਣੋ
- ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਲਗਾਓ: ਮਜ਼ਬੂਤ ਪ੍ਰਮਾਣਿਕੀਕਰਨ, ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ ਪਹੁੰਚ, ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਪ੍ਰਬੰਧਨ, ਸੈਸ਼ਨ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਅਤੇ ਸਪਲਾਈ ਚੇਨ ਵੈਰੀਫਿਕੇਸ਼ਨ ਵਰਗੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਉਪਾਇਆ ਲਾਗੂ ਕਰੋ
- ਮਾਇਕਰੋਸਾਫਟ ਸੁਰੱਖਿਆ ਹੱਲ ਵਰਤੋ: MCP ਵਰਕਲੋਡ ਸੁਰੱਖਿਆ ਲਈ Microsoft Prompt Shields, Azure Content Safety ਅਤੇ GitHub Advanced Security ਨੂੰ ਸਮਝੋ ਅਤੇ ਲਾਗੂ ਕਰੋ
- ਟੂਲ ਸੁਰੱਖਿਆ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ: ਟੂਲ ਮੈਟਾਡੇਟਾ ਵੈਲੀਡੇਸ਼ਨ ਦੀ ਮਹੱਤਤਾ, ਡਾਇਨੈਮਿਕ ਬਦਲਾਅ ਦੀ ਨਿਗਰਾਨੀ ਅਤੇ ਅਪਰੋਕਸੀ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਤੋਂ ਰੱਖਿਆ ਨੂੰ ਪਛਾਣੋ
- ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਇਕੱਠੇ ਕਰੋ: ਜਿਸ ਵਿੱਚ ਮੂਲ ਸੁਰੱਖਿਆ ਅਸੂਲ (ਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ, ਸਰਵਰ ਹਾਰਡਨਿੰਗ, ਜ਼ੀਰੋ ਟਰੱਸਟ) ਅਤੇ MCP-ਵਿਸੇਸ਼ ਕੰਟਰੋਲ ਸ਼ਾਮਲ ਹਨ, ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਲਈ
ਆਧੁਨਿਕ MCP ਲਾਗੂ ਕਰਨ ਲਈ ਸੋਖੇ ਸੁਰੱਖਿਆ ਅਪ੍ਰੋਚਜ਼ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਜੋ ਪਾਰੰਪਰਿਕ ਸੌਫਟਵੇਅਰ ਸੁਰੱਖਿਆ ਅਤੇ AI-ਵਿਸੇਸ਼ ਖਤਰਿਆਂ ਦੋਹਾਂ ਨੂੰ ਸਮੇਤਦੇ ਹਨ। MCP ਵਿਸ਼ੇਸ਼ਣ ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ ਅਤੇ ਇਸਦੇ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਮਜ਼ਬੂਤ ਹੋ ਰਹੇ ਹਨ, ਜੋ ਉਦਯੋਗ ਸੁਰੱਖਿਆ ਵਾਸ਼ਿਆਂ ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸਾਂ ਨਾਲ ਬਿਹਤਰ ਇੰਟੀਗ੍ਰੇਸ਼ਨ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ।
ਮਾਇਕਰੋਸਾਫਟ ਡਿਜਿਟਲ ਡੀਫੈਂਸ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, 98% ਦਰਜ ਕੀਤੇ ਗਏ ਭੰਗ ਰੋਕੇ ਜਾ ਸਕਦੇ ਹਨ ਜੇ ਮਜ਼ਬੂਤ ਸਰੱਖਿਆ ਪ੍ਰਬੰਧ ਅਪਣਾਏ ਜਾਣ। ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਨੂੰ MCP-ਵਿਸੇਸ਼ ਕੰਟਰੋਲ ਨਾਲ ਜੋੜਣਾ ਹੈ—ਮੁਖ ਸੁਰੱਖਿਆ ਉਪਾਇਆ ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਖ਼ਤਰਿਆਂ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ।
ਨੋਟ: ਇਹ ਜਾਣਕਾਰੀ MCP ਸੁਰੱਖਿਆ ਮਿਆਰਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਕਿ 5 ਫਰਵਰੀ 2026 ਤੱਕ ਅਮਲ ਵਿੱਚ ਹਨ ਅਤੇ MCP Specification 2025-11-25 ਨਾਲ ਜਾਣ ਮਿਲਦੀ ਹੈ। MCP ਪ੍ਰੋਟੋਕਾਲ ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ ਅਤੇ ਭਵਿੱਖ ਦੇ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਨਵੇਂ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਪੈਟਰਨ ਅਤੇ ਵਧੇਰੇ ਕੰਟਰੋਲ ਆ ਸਕਦੇ ਹਨ। সর্বদা ਮੌਜੂਦਾ MCP Specification, MCP GitHub repository ਅਤੇ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਵੇਖੋ।
ਹਥਿਆਰਬੰਦ ਸੁਰੱਖਿਆ ਸਿਖਲਾਈ ਲਈ, ਅਸੀਂ ਮਜ਼ਬੂਤੀ ਨਾਲ MCP ਸੁਰੱਖਿਆ ਸਮਿੱਟ ਵਰਕਸ਼ਾਪ (ਸ਼ੇਰਪਾ) ਦੀ ਸਿਫਾਰਸ਼ ਕਰਦੇ ਹਾਂ - ਮਾਇਕਰੋਸਾਫਟ Azure ਵਿੱਚ MCP ਸਰਵਰਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਰਹਿਨੁਮਾ ਮੁਹਿੰਮ।
MCP ਸੁਰੱਖਿਆ ਸਮਿੱਟ ਵਰਕਸ਼ਾਪ ਇੱਕ ਸੁਰੱਖਿਆ ਸੀਖਣ ਦਾ ਮਨਜ਼ੂਰਸ਼ੁਦਾ "ਕਮਜ਼ੋਰੀ → ਝੰਜਟ → ਠੀਕ → ਪੁਸ਼ਟੀ" ਤਰੀਕਾ ਵਰਤਦਾ ਹੈ। ਤੁਸੀਂ:
- ਤੋੜ-ਮੋੜ ਕਰਕੇ ਸਿੱਖੋ: ਜਾਣਬੂਝ ਕੇ ਅਸੁਰੱਖਿਅਤ ਸਰਵਰਾਂ ਨੂੰ ਲਾਹਾ ਉਠਾਉਂਦੇ ਹੋਏ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਅਨੁਭਵ ਕਰੋ
- Azure-ਨੈਟਿਵ ਸੁਰੱਖਿਆ ਵਰਤੋ: Azure Entra ID, Key Vault, API Management ਅਤੇ AI Content Safety ਵਰਤੋ
- ਡੈਫੈਂਸ-ਇਨ-ਡੈਪਥ ਅਪ੍ਰੋਚ ਲਗਾਓ: ਕੈਂਪਾਂ ਵਿੱਚ क्रम ਮਿਲਾ ਕੇ ਵਧੇਰੇ ਸੁਰੱਖਿਆ ਲੇਅਰ ਬਣਾਉ
- OWASP ਮਿਆਰਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ: ਹਰ ਤਕਨੀਕ OWASP MCP Azure Security Guide ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ
- ਪੈਦਾ ਵਰਤੋਂ ਕੋਡ ਲੈ ਜਾਓ: ਚਲਦਾ-ਫਿਰਦਾ, ਪਰਖਿਆ ਹੋਇਆ ਕਾਰਜਾਨਵਿਤ ਕੋਡ ਪ੍ਰਾਪਤ ਕਰੋ
| ਕੈਂਪ | ਧਿਆਨ | OWASP ਖ਼ਤਰੇ ਸ਼ਾਮਲ |
|---|---|---|
| ਬੇਸ ਕੈਂਪ | MCP ਮੁਢਲੇ ਅਸੂਲ ਅਤੇ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਕਮਜ਼ੋਰੀਆਂ | MCP01, MCP07 |
| ਕੈਂਪ 1: ਪਹਿਚਾਣ | OAuth 2.1, Azure ਮੈਨੇਜਡ ਪਹਿਚਾਣ, Key Vault | MCP01, MCP02, MCP07 |
| ਕੈਂਪ 2: ਗੇਟਵੇ | API ਪ੍ਰਬੰਧਨ, ਪ੍ਰਾਈਵੇਟ ਐਂਡਪੋਇੰਟ, ਗਵਰਨੈਂਸ | MCP02, MCP07, MCP09 |
| ਕੈਂਪ 3: I/O ਸੁਰੱਖਿਆ | ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ, PII ਸੁਰੱਖਿਆ, ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ | MCP03, MCP05, MCP06 |
| ਕੈਂਪ 4: ਨਿਗਰਾਨੀ | ਲੌਗ ਐਨਾਲਿਟਿਕਸ, ਡੈਸ਼ਬੋਰਡ, ਖ਼ਤਰੇ ਦੀ ਪਹਚਾਣ | MCP08 |
| ਸਮੀਟ | ਲਾਲ ਟੀਮ / ਨੀਲੀ ਟੀਮ ਇੰਟੀਗ੍ਰੇਸ਼ਨ ਟੈਸਟ | ਸਾਰੇ |
ਸ਼ੁਰੂਆਤ ਕਰੋ: https://azure-samples.github.io/sherpa/
OWASP MCP Azure Security Guide MCP ਲਾਗੂ ਕਰਨ ਲਈ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਣ ਦਸ ਸੁਰੱਖਿਆ ਜੋਖਮ ਵਰਨਨ ਕਰਦਾ ਹੈ:
| ਜੋਖਮ | ਵਰਨਨ | Azure ਰੋਕਥਾਮ |
|---|---|---|
| MCP01 | ਟੋਕਨ ਗਲਤ ਪ੍ਰਬੰਧਨ ਅਤੇ ਗੁਪਤ ਜਾਣਕਾਰੀ ਉਘਾੜਨਾ | Azure Key Vault, Managed Identity |
| MCP02 | ਸਕੋਪ ਵਧਾਉਣ ਦੇ ਰਾਹੀਂ ਅਧਿਕਾਰ ਵਾਧਾ | RBAC, Conditional Access |
| MCP03 | ਟੂਲ ਪੋਇਜ਼ਨਿੰਗ | ਟੂਲ ਵੈਲੀਡੇਸ਼ਨ, ਪੂਰਨਤਾ ਪਰਖ |
| MCP04 | ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ | GitHub Advanced Security, ਡਿਪੈਂਡੈਂਸੀ ਸਕੈਨਿੰਗ |
| MCP05 | ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਨਿਭਾੜੇ | ਇਨਪੁੱਟ ਵੈਲੀਡੇਸ਼ਨ, ਸੈਂਡਬਾਕਸਿੰਗ |
| MCP06 | ਪਰਿਵਾਰਗਿਕ ਭਾਰ ਹੋਣ ਵਾਲੀ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ | Azure AI Content Safety, Prompt Shields |
| MCP07 | ਅਪਰਿਆਪਤ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਅਤੇ ਅਧਿਕਾਰ | Azure Entra ID, OAuth 2.1 with PKCE |
| MCP08 | ਆਡੀਟ ਅਤੇ ਟੈਲੀਮੈਟਰੀ ਦੀ ਕਮੀ | Azure Monitor, Application Insights |
| MCP09 | ਛਾਇਆ MCP ਸਰਵਰ | API ਸੈਂਟਰ ਗਵਰਨੈਂਸ, ਨੈੱਟਵਰਕ ਅਲੱਗਾਵ |
| MCP10 | ਕਾਂਟੈਕਸਟ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਜ਼ਿਆਦਾ ਸਾਂਝਾ ਕਰਨਾ | ਡੇਟਾ ਵਰਗੀਕਰਨ, ਘੱਟੋ-ਘੱਟ ਪ੍ਰਭਾਵ |
MCP ਵਿਸ਼ੇਸ਼ਣ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਅਤੇ ਅਧਿਕਾਰ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਵੱਡੇ ਬਦਲਾਅ ਆਏ ਹਨ:
- ਮੂਲ ਅਪ੍ਰੋਚ: ਸ਼ੁਰੂਆਤੀ ਵਿਸ਼ੇਸ਼ਣਾਂ ਵਿੱਚ ਵਿਕਾਸਕਾਰਾਂ ਤੋਂ ਕਸਟਮ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਸਰਵਰ ਬਣਾਉਣ ਦੀ ਲੋੜ ਸੀ, ਜਿਥੇ MCP ਸਰਵਰ OAuth 2.0 ਪਰਮਾਣਿਕੀਕਰਨ ਸਰਵਰ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਸਨ ਅਤੇ ਸਿੱਧੇ ਤੌਰ ਤੇ ਯੂਜ਼ਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸੰਭਾਲਦੇ ਸਨ
- ਮੌਜੂਦਾ ਮਿਆਰ (2025-11-25): ਅਪਡੇਟ ਕੀਤੀ ਵਿਸ਼ੇਸ਼ਣ MCP ਸਰਵਰਾਂ ਨੂੰ ਬਾਹਰੀ ਪਹਿਚਾਣ ਪ੍ਰਦਾਤਾਵਾਂ (ਜਿਵੇਂ Microsoft Entra ID) ਨੂੰ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਸੌਂਪਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜੋ ਸੁਰੱਖਿਆ ਦੀ ਹਾਲਤ ਨੂੰ ਬਹਿਤਰ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਲਾਗੂ ਕਰਨ ਦੀ ਜਟਿਲਤਾ ਘਟਾਉਂਦਾ ਹੈ
- ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰ ਸੁਰੱਖਿਆ: ਸਥਾਨਕ (STDIO) ਅਤੇ ਰਿਮੋਟ (Streamable HTTP) ਕੁਨੈਕਸ਼ਨਾਂ ਲਈ ਪ੍ਰਮਾਣਿਤ ਸੁਗਮ ਟ੍ਰਾਂਸਪੋਰਟ ਮਕੈਨਿਜ਼ਮਾਂ ਦਾ ਵਧੀਆ ਸਮਰਥਨ
ਆਧੁਨਿਕ MCP ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਕਈ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਅਤੇ ਅਧਿਕਾਰ ਚੁਣੌਤੀਆਂ ਹਨ:
- ਗਲਤ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਤਰਕ: MCP ਸਰਵਰਾਂ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਲਾਜਿਕ ਦੀ ਖਰਾਬ ਵਿਆਖਿਆ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਖੁਲਾਸਾ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਗਲਤ ਤਰੀਕੇ ਨਾਲ ਪਹੁੰਚ ਕੰਟਰੋਲ ਲਗਾਉਂਦੀ ਹੈ
- OAuth ਟੋਕਨ ਚੋਰੀ: ਸਥਾਨਕ MCP ਸਰਵਰ ਟੋਕਨ ਚੋਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਰਵਰਾਂ ਵਜੋਂ ਨਕਲ ਕਰਨ ਅਤੇ ਮਾਪੇ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸਹੂਲਤ ਦਿੰਦੀ ਹੈ
- ਟੋਕਨ ਪਾਸਥਰੂ ਕਮਜ਼ੋਰੀਆਂ: ਗਲਤ ਟੋਕਨ ਪ੍ਰਬੰਧਨ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਨੂੰ ਬਾਵਜੂਦ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਜਵਾਬਦੇਹੀ ਵਿੱਚ ਖ਼ਲਲ ਉਠਾਉਂਦੀਆਂ ਹਨ
- ਅਤਿ ਅਧਿਕ ਅਨੁਮਤੀਆਂ: MCP ਸਰਵਰ ਜਿਨ੍ਹਾਂ ਕੋਲ ਜ਼ਰੂਰੀ ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ ਨਹੀਂ ਹੁੰਦੇ ਉਹ ਹਮਲਾਵਰਾਂ ਲਈ ਵੱਧ ਖ਼ਤਰਾ ਉਤਪੰਨ ਕਰਦੇ ਹਨ
ਟੋਕਨ ਪਾਸਥਰੂ ਮੌਜੂਦਾ MCP ਅਧਿਕਾਰ ਵਿਸ਼ੇਸ਼ਣ ਵਿੱਚ ਸਖ਼ਤ ਰੂਪ ਵਿੱਚ ਮਨਾਯਾ ਗਿਆ ਹੈ ਕਿਉਂਕਿ ਇਸਦੇ ਸੁਰੱਖਿਆ ਨਤੀਜੇ ਗੰਭੀਰ ਹਨ:
- MCP ਸਰਵਰ ਅਤੇ ਡਾਊਨਸਟਰੀਮ API ਜਿੰਨ੍ਹਾਂ ਨੇ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲ ਜਿਵੇਂ ਦਰ ਐਲਿਮਿਟਿੰਗ, ਬੇਨਤੀ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਅਤੇ ਟ੍ਰੈਫਿਕ ਨਿਗਰਾਨੀ ਲਗਾਈ ਹੈ, ਉਹ ਟੋਕਨ ਵੈਰੀਫਿਕੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ
- ਸਿੱਧਾ ਕਲਾਇੰਟ-ਟੋ-API ਟੋਕਨ ਵਰਤੋਂ ਇਹਨਾਂ ਐਹਮ ਸੁਰੱਖਿਆ ਘੇਰਿਆਂ ਨੂੰ ਭੰਨ ਕੇ ਸੁਰੱਖਿਆ ਢਾਂਚੇ ਨੂੰ ਖ਼ਰਾਬ ਕਰਦਾ ਹੈ
- MCP ਸਰਵਰ ਉਪਭੋਗਤਾਵਾਂ ਵਰਤੋਂ ਉਪਰੀ ਟੋਕਨ ਦੀ ਪਛਾਣ ਨਹੀਂ ਕਰ ਸਕਦੇ, ਇਸ ਨਾਲ ਆਡੀਟ ਟਰੇਲ ਭੰਗ ਹੁੰਦਾ ਹੈ
- ਡਾਊਨਸਟਰੀਮ ਸਰਵਰ ਲਾਗ ਅਸਲੀ MCP ਸਰਵਰ ਮੱਧਸਥਾਂ ਦੀ ਥਾਂ ਗਲਤ ਮੰਗਲ ਸੂਤਰ ਦਿਖਾਉਂਦੇ ਹਨ
- ਘਟਨਾ ਜਾਂਚ ਅਤੇ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ ਕਾਫੀ ਔਖਾ ਹੋ ਜਾਂਦੀ ਹੈ
- ਅਪਰਮਾਣਿਤ ਟੋਕਨਾਂ ਨਾਲ MCP ਸਰਵਰ ਨੂੰ ਪ੍ਰਾਕਸੀ ਵਜੋਂ ਵਰਤ ਕੇ ਡੇਟਾ ਚੋਰੀ ਹੋ ਸਕਦੀ ਹੈ
- ਭਰੋਸਾ ਸਰਹੱਦ ਮੁਲੰਘਨ ਕਾਰਨ ਅਣਅਧਿਕ੍ਰਿਤ ਪਹੁੰਚ ਸੰਭਵ ਹੁੰਦੀ ਹੈ
- ਕਈ ਸੇਵਾਵਾਂ ਵਿੱਚ ਸਵੀਕਾਰ ਕੀਤੇ ਗਏ ਸੋਧੀਆਂ ਗਈਆਂ ਟੋਕਨਾਂ ਨਾਲ ਜੋੜੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਅੰਦਰੂਨੀ ਜਹਾਜ਼ਗਿਰੀ ممکن ਹੋ ਜਾਂਦੀ ਹੈ
- ਸੇਵਾਵਾਂ ਦਰਮਿਆਨ ਭਰੋਸੇ ਦੀਆਂ ਧਾਰਣਾਵਾਂ ਟੋਕਨ ਮੂਲ ਪਛਾਣ ਨਾ ਹੋਣ ਕਾਰਨ ਟੁੱਟ ਸਕਦੀਆਂ ਹਨ
ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਲੋੜਾਂ:
ਜ਼ਰੂਰੀ: MCP ਸਰਵਰ ਕਦੇ ਵੀ ਨਹੀਂ ਉਹ ਟੋਕਨ ਸਵੀਕਾਰ ਕਰਨ ਜੋ ਖ਼ਾਸ ਤੌਰ `ਤੇ MCP ਸਰਵਰ ਲਈ ਜਾਰੀ ਨਾ ਕੀਤੇ ਗਏ ਹੋਣ
-
ਕਿਰਤ ਘੇਰਾ ਪ੍ਰਮਾਣਿਕੀਕਰਨ ਸਮੀਖਿਆ: MCP ਸਰਵਰ ਅਧਿਕਾਰ ਲਾਜਿਕ ਦੀ ਸੰਪੂਰਨ ਆਡੀਟ ਕਰਵਾਓ ਤਾਂ ਜੋ ਕੇਵਲ ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਯੂਜ਼ਰ ਅਤੇ ਕਲਾਇੰਟ ਸੰਵੇਦਨਸ਼ੀਲ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਸਕਣ
- ਲਾਗੂ ਕਰਨ ਦੀ ਗਾਈਡ: Azure API Management as Authentication Gateway for MCP Servers
- ਆਈਡੈਂਟੀਟੀ ਇੰਟੀਗ੍ਰੇਸ਼ਨ: Using Microsoft Entra ID for MCP Server Authentication
-
ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਪ੍ਰਬੰਧਨ: Microsoft ਦੇ ਟੋਕਨ ਵੈਰੀਫਿਕੇਸ਼ਨ ਅਤੇ ਜੀਵਨ-ਚੱਕਰ ਬਿਹਤਰੀਨ ਅਭਿਆਸ ਨੂੰ ਲਾਗੂ ਕਰੋ
- ਟੋਕਨ ਆਡੀਐਂਸ ਕਲੇਮਸ ਨੂੰ MCP ਸਰਵਰ ਦੀ ਪਹਿਚਾਣ ਨਾਲ ਮੇਲ ਕਰੋ
- ਟोकਨ ਰੋਟੇਸ਼ਨ ਅਤੇ ਮਿਆਦ ਖ਼ਤਮ ਹੋਣ ਦੀ ਨੀਤੀ ਸਿੱਧੀ ਤਰੀਕੇ ਨਾਲ ਲਗਾਓ
- ਟੋਕਨ ਦੁਹਰਾਉਂਣ ਵਾਲੇ ਹਮਲਿਆਂ ਅਤੇ ਅਪਰਮਾਣਿਤ ਵਰਤੋਂ ਨੂੰ ਰੋਕੋ
-
ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਸਟੋਰੇਜ: ਟੋਕਨਾਂ ਨੂੰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ ਨਾਲ ਰੱਖੋ ਕਿਵੇਂ ਕਿ ਟੋਕਨ ਸ਼ਾਂਤ ਅਤੇ ਟ੍ਰਾਂਸਮੀਸ਼ਨ ਦੌਰਾਨ ਦੋਹਾਂ ‘ਚ ਗੁਪਤ ਰੱਖੇ ਜਾਣ
- ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ: Secure Token Storage and Encryption Guidelines
-
ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ ਦਾ ਸਿਦਾਂਤ: MCP ਸਰਵਰਾਂ ਨੂੰ ਸਿਰਫ਼ ਜਰੂਰੀ ਕਾਰਜ ਲਈ ਘੱਟੋ-ਘੱਟ ਅਨੁਮਤੀਆਂ ਦੇਵੋ
- ਨਿਯਮਤ ਅਧਿਕਾਰ ਸਮੀਖਿਆ ਅਤੇ ਨਵੀਨਤਾ ਕਰਕੇ ਅਧਿਕਾਰ ਵਾਧੇ ਨੂੰ ਰੋਕੋ
- Microsoft ਦਸਤਾਵੇਜ਼: Secure Least-Privileged Access
-
ਰੋਲ-ਅਧਾਰਤ ਪਹੁੰਚ ਕੰਟਰੋਲ (RBAC): ਬਾਰੀਕੀ ਨਾਲ ਰੋਲ ਸੌਂਪਣਾ
- ਰੋਲਾਂ ਨੂੰ ਖ਼ਾਸ ਸਰੋਤਾਂ ਅਤੇ ਕਾਰਵਾਈਆਂ ਤੱਕ ਸੀਮਿੱਥ ਰੱਖੋ
- ਵੱਧ ਜਾਂ ਲੋੜ ਤੋਂ ਵੱਧ ਅਧਿਕਾਰ ਨਾ ਦਿਓ ਜੋ ਹਮਲੇ ਦਾ ਖ਼ਤਰਾ ਵਧਾਉਂਦੇ ਹਨ
-
ਕੰਟੀਨਿਊਅਸ ਅਧਿਕਾਰ ਨਿਗਰਾਨੀ: ਲਗਾਤਾਰ ਪਹੁੰਚ ਦੀ ਆਡੀਟ ਅਤੇ ਨਿਗਰਾਨੀ
- ਗਲਤ ਵਿਉਹਾਰ ਜਾਂ ਬੇਕਾਰ ਅਧਿਕਾਰਾਂ ਦੀ ਤੁਰੰਤ ਸ਼ੁੱਧੀ
ਆਧੁਨਿਕ MCP ਲਾਗੂ ਕਰਨ ਮਾਡਲਾਂ ਨੂੰ ਸੁਖੜੇ AI-ਵਿਸੇਸ਼ ਹਮਲਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ ਜੋ ਪਾਰੰਪਰਿਕ ਸੁਰੱਖਿਆ ਉਪਾਅ ਪੂਰੇ ਤੌਰ ਤੇ ਅਡ੍ਰੈੱਸ ਨਹੀ ਕਰ ਸਕਦੇ:
ਅਪਰੋਕਸੀ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ ਉਹ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ MCP-ਸਹਾਇਤ AI ਸਿਸਟਮਾਂ ਵਿੱਚ ਪਾਈ ਜਾਂਦੀ ਹੈ। ਹਮਲਾਵਰ ਬਾਹਰੀ ਸਮੱਗਰੀ—ਜਿਵੇਂ ਦਸਤਾਵੇਜ਼, ਵੈੱਬ ਪੰਨੇ, ਈਮੇਲ ਜਾਂ ਡੇਟਾ ਸਰੋਤਾਂ ਵਿੱਚ—ਮਾਲਿਸ਼ੀਅਸ ਨਿਰਦੇਸ਼ ਛੁਪਾਉਂਦੇ ਹਨ, ਜੋ AI ਸਿਸਟਮ ਅਗਲੇ ਚੱਲਦੇ ਸਮੇਂ ਅਸਲੀ ਹुकਮਾਂ ਵਜੋਂ ਸੰਗ੍ਰਹਿਤ ਕਰਦਾ ਹੈ।
ਹਮਲੇ ਦੀਆਂ ਸਥਿਤੀਆਂ:
- ਦਸਤਾਵੇਜ਼ ਆਧਾਰਿਤ ਇੰਜੈਕਸ਼ਨ: ਪ੍ਰੋਸੈੱਸ ਕੀਤਾ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਛੁਪਾਏ ਗਏ ਮਾਲਿਸ਼ੀਅਸ ਨਿਰਦੇਸ਼ ਜੋ AI ਤੋਂ ਅਣਚਾਹੇ ਕਾਰਜ ਕਰਵਾਉਂਦੇ ਹਨ
- ਵੈੱਬ ਸਮੱਗਰੀ ਦਾ ਦੁਰਪਯੋਗ: ਖਰਾਬ ਕੀਤੇ ਵੈੱਬ ਪੰਨੇ ਜਿਹੜੇ ਐਮਬੈਡਡ ਪ੍ਰੌੰਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਕੇ AI ਦਾ ਵਿਹਾਰ ਮੋੜਦੇ ਹਨ
- ਈਮੇਲ-ਆਧਾਰਿਤ ਹਮਲੇ: ਈਮੇਲ ਵਿੱਚ ਮਾਲਿਸ਼ੀਅਸ ਪ੍ਰੌੰਪਟਾਂ ਜੋ AI ਸਹਾਇਕਾਂ ਨੂੰ ਜਾਣਕਾਰੀ ਚੋਰ ਕਰਨ ਜਾਂ ਅਣਅਧਿਕ੍ਰਿਤ ਕਾਰਜ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦੇ ਹਨ
- ਡੇਟਾ ਸਰੋਤ ਦੂਸ਼ਣ: ਖਰਾਬ ਹੋਏ ਡੇਟਾਬੇਸ ਜਾਂ APIs ਜੋ AI ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਦੂਸ਼ਿਤ ਸਮੱਗਰੀ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ
ਅਸਲੀ ਦੁਨਿਆ ਪ੍ਰਭਾਵ: ਇਹ ਹਮਲੇ ਡੇਟਾ ਚੋਰੀ, ਗੁਪਤਤਾ ਭੰਗ, ਨੁਕਸਾਨਦਾਇਕ ਸਮੱਗਰੀ ਤਿਆਰ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੇ ਹਨ। ਵਧੀਕ ਜਾਣਕਾਰੀ ਲਈ ਵੇਖੋ Prompt Injection in MCP (Simon Willison)।
ਟੂਲ ਪੋਇਜ਼ਨਿੰਗ ਉਹ ਮੈਟਾਡੇਟਾ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ MCP ਟੂਲਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ LLMs ਟੂਲ ਵਿਚਾਰ ਅਤੇ ਪੈਰਾਮੀਟਰ ਨੂੰ ਸਮਝ ਕੇ ਕਾਰਵਾਈ ਦੇ ਫੈਸਲੇ ਲੈਂਦੇ ਹਨ।
ਹਮਲੇ ਦੇ ਤਰੀਕੇ:
- ਮੈਟਾਡੇਟા ਤਬਦੀਲੀ: ਹਮਲਾਵਰ ਟੂਲ ਵੇਰਵੇ, ਪੈਰਾਮੀਟਰ ਸਮਝਾਉਣ ਜਾਂ ਉਦਾਹਰਨਾਂ ਵਿੱਚ ਮਾਲਿਸ਼ੀਅਸ ਹਦਾਇਤਾਂ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ
- ਅਦਿੱਖੀਆਂ ਹਦਾਇਤਾਂ: ਐਸੀ ਛੁਪੀਆਂ ਪ੍ਰੌੰਪਟਾਂ ਜੋ AI ਮਾਡਲਾਂ ਵੱਲੋਂ ਸੰਸਕਾਰਤ ਹੁੰਦੀਆਂ ਹਨ ਪਰ ਮਨੁੱਖੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਹੀਂ ਦਿਖਾਈਦੀਆਂ
- ਡਾਇਨੈਮਿਕ ਟੂਲ ਸੋਧ (ਰੱਗ ਪੁੱਲ): ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਟੂਲ ਬਾਅਦ ਵਿੱਚ ਮਾਲਿਸ਼ੀਅਸ ਕਾਰਜਾਂ ਲਈ ਬਦਲੇ ਜਾਂਦੇ ਹਨ ਬਿਨਾਂ ਉਪਭੋਗਤਾ ਨੂੰ ਪਤਾ ਲੱਗੇ
- ਪੈਰਾਮੀਟਰ ਇੰਜੈਕਸ਼ਨ: ਮਾਡਲ ਵਿਹਾਰ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀ ਮਾਲਿਸ਼ੀਅਸ ਸਮੱਗਰੀ ਟੂਲ ਪੈਰਾਮੀਟਰ ਸਕੀਮਾਂ ਵਿੱਚ ਛੁਪਾ ਕੇ ਸਮਰਪਿਤ
ਹੋਸਟ ਕੀਤੇ ਸਰਵਰਾਂ ਦੇ ਖਤਰੇ: ਰਿਮੋਟ MCP ਸਰਵਰ ਖਾਸ ਖਤਰਨਾਕ ਹੁੰਦੇ ਹਨ ਕਿਉਂਕਿ ਟੂਲ ਪਰਿਭਾਸ਼ਨ ਦੀ ਅਪਡੇਟ ਯੂਜ਼ਰ ਮਨਜ਼ੂਰੀ ਤੋਂ ਬਾਅਦ ਵੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਇਸ ਨਾਲ ਪਹਿਲਾਂ ਸੁਰੱਖਿਅਤ ਟੂਲ ਮਾਲਿਸ਼ੀਅਸ ਬਣ ਜਾਂਦੇ ਹਨ। ਵਧੀਕ ਜਾਣਕਾਰੀ ਲਈ ਵੇਖੋ Tool Poisoning Attacks (Invariant Labs)।
- ਕ੍ਰਾਸ-ਡੋਮੇਨ ਪ੍ਰੌੰਪਟ ਇੰਜੈਕਸ਼ਨ (XPIA): ਸੁਖੜੇ ਹਮਲੇ ਜੋ ਕਈ ਡੋਮੇਨਾਂ ਦੀ ਸਮੱਗਰੀ ਵਰਤ ਕੇ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹਨ
- ਡਾਇਨਾਮਿਕ ਸਮਰੱਥਾ ਸੋਧਣਾ: ਸੰਦ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਤੁਰੰਤ ਬਦਲਾਅ ਜੋ ਸ਼ੁਰੂਆਤੀ ਸੁਰੱਖਿਆ ਮੁਲਿਆਂਕਣ ਤੋਂ ਬਚ ਜਾਂਦੇ ਹਨ
- ਸੰਦਰਭ ਵਿੰਡੋ ਜਹਿਰੀਲਾ ਕਰਨ ਦੀ ਹਮਲਾ: ਵੱਡੇ ਸੰਦਰਭ ਵਿੰਡੋਜ ਨੂੰ ਮਲਿਸੀਅਸ ਹਦਾਇਤਾਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਮੈਨਿਪੂਲੇਟ ਕਰਨ ਵਾਲੀ ਹਮਲੇ
- ਮਾਡਲ ਦਾ ਭ੍ਰਮਿਤ ਕਰਨ ਵਾਲੇ ਹਮਲੇ: ਮਾਡਲ ਦੀਆਂ ਸੀਮਾਵਾਂ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਣ ਜਾਂ ਅਣਮਨੋਯੋਗ ਵਰਤੋਂਵਾਲੇ ਵਿਹਾਰ ਬਣਾਉਣ ਲਈ ਸ਼ੋਸ਼ਣਾ
ਉੱਚ ਪ੍ਰਭਾਵ ਵਾਲੇ ਨਤੀਜੇ:
- ਡਾਟਾ ਚੋਰੀ: ਅਣਅਧਿਕ੍ਰਿਤ ਪਹੁੰਚ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਉਦਯੋਗਿਕ ਜਾਂ ਨਿੱਜੀ ਡਾਟੇ ਦੀ ਚੋਰੀ
- ਗੋਪਨੀਯਤਾ ਉਲੰਘਣਾਂ: ਨਿੱਜੀ ਪਹਿਚਾਣਯੋਗ ਜਾਣਕਾਰੀ (PII) ਅਤੇ ਗੁਪਤ ਕਾਰੋਬਾਰੀ ਡਾਟੇ ਦਾ ਪ੍ਰਕਾਸ਼
- ਸਿਸਟਮ ਮੈਨਿਪੂਲੇਸ਼ਨ: ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਅਤੇ ਵਰਕਫਲੋ ਵਿੱਚ ਅਣਚਾਹੀਆਂ ਸੋਧਾਂ
- ਪਹਚਾਣ ਚੋਰੀ: ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨਾਂ ਅਤੇ ਸੇਵਾ ਖਾਤਿਆਂ ਦਾ ਸਮਰੱਥਾ ਘਾਟ ਹੋਣਾ
- ਪਾਸੇ-ਪਾਸੇ ਗਤੀਵਿਧੀ: ਬੜੇ ਨੈੱਟਵਰਕ ਹਮਲਿਆਂ ਲਈ ਸਮਰੱਥਾ ਘਾਟ ਹੋਏ AI ਸਿਸਟਮਾਂ ਦੀ ਵਰਤੋਂ
ਮਾਈਕਰੋਸੋਫਟ AI ਪ੍ਰਾਂਪਟ ਸ਼ੀਲਡਜ਼ ਸਿੱਧੇ ਅਤੇ ਅਪਰੋਕਸ਼ ਪ੍ਰਾਂਪਟ ਇੰਜੈਕਸ਼ਨ ਹਮਲਿਆਂ ਖਿਲਾਫ ਬਹੁ-ਸਤਰ ਸੁਰੱਖਿਆ ਦਿੰਦੇ ਹਨ:
-
ਅਡਵਾਂਸ ਡਿਟੈਕਸ਼ਨ ਅਤੇ ਫਿਲਟਰਿੰਗ
- ਮਸ਼ੀਨ ਲਰਨਿੰਗ ਅਤੇ NLP ਤਕਨੀਕਾਂ ਨਾਲ ਬਾਹਰੀ ਸਮੱਗਰੀ ਵਿੱਚ ਮਲਿਸੀਅਸ ਹਦਾਇਤਾਂ ਦੀ ਪਹਚਾਣ
- ਦਸਤਾਵੇਜ਼ਾਂ, ਵੈੱਬ ਪੇਜ਼ਾਂ, ਈਮੇਲਾਂ ਅਤੇ ਡਾਟਾ ਸਰੋਤਾਂ ਦਾ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਵਿਸਥਾਰ ਨਾਲ ਵਿਸ਼ਲੇਸ਼ਣ
- ਵਾਸਤਵਿਕ ਅਤੇ ਮਲਿਸੀਅਸ ਪ੍ਰਾਂਪਟ ਪੈਟਰਨਾਂ ਦੀ ਸੰਦਰਭ ਸਮਝ
-
ਸਪੌਟਲਾਈਟਿੰਗ ਤਕਨੀਕਾਂ
- ਭਰੋਸੇਯੋਗ ਸਿਸਟਮ ਹਦਾਇਤਾਂ ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ ਤੇ ਸਮਰੱਥਾ ਘਾਟ ਹੋਏ ਬਾਹਰੀ ਇਨਪੁੱਟ ਵਿਚਕਾਰ ਫਰਕ ਕਰਨਾ
- ਟੈਕਸਟ ਬਦਲਾਅ ਜਿਹੜਾ ਮਾਡਲ ਦੀ ਪ੍ਰਸੰਗਿਕਤਾ ਵਧਾਉਂਦਾ ਹੈ ਅਤੇ ਮਲਿਸੀਅਸ ਸਮੱਗਰੀ ਨੂੰ ਅਲੱਗ ਕਰਦਾ ਹੈ
- AI ਸਿਸਟਮਾਂ ਨੂੰ ਸਹੀ ਹਦਾਇਤ ਹੇਠਾਂ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਇੰਜੈਕਟ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਅਣਗੌਲ੍ਹਣਾ ਸਹਾਇਤਾ ਕਰਦਾ ਹੈ
-
ਡੈਲਿਮੀਟਰ ਅਤੇ ਡਾਟਾਮਾਰਕਿੰਗ ਪ੍ਰਣਾਲੀ
- ਭਰੋਸੇਯੋਗ ਸਿਸਟਮ ਸੁਨੇਹਿਆਂ ਅਤੇ ਬਾਹਰੀ ਇਨਪੁੱਟ ਟੈਕਸਟ ਵਿਚਕਾਰ ਸਪਸ਼ਟ ਹੱਦ ਬੰਨ੍ਹਣਾ
- ਖਾਸ ਨਿਸ਼ਾਨ ਭਰੋਸੇਯੋਗ ਅਤੇ ਅਣਭਰੋਸੇਯੋਗ ਡਾਟਾ ਸਰੋਤਾਂ ਦਰਮਿਆਨ ਹੱਦਾਂ ਨੂੰ ਰੋਸ਼ਨ ਕਰਦੇ ਹਨ
- ਸਪਸ਼ਟ ਵੰਡ ਸੁਨੇਹਿਆਂ ਦੀ ਗੁੰਝਲਦਾਰ ਹੋਣ ਜਾਂ ਅਣਅਧਿਕ੍ਰਿਤ ਕਮਾਂਡਾਂ ਦੇ ਚਲਾਉਣ ਨੂੰ ਰੋਕਦੀ ਹੈ
-
ਲਗਾਤਾਰ ਖ਼ਤਰੇ ਬਾਰੇ ਬੁੱਧਿਮਤਾ
- ਮਾਈਕਰੋਸੋਫਟ ਨਵੀਆਂ ਹਮਲਾ ਸ਼ੈਲੀਆਂ ਨੂੰ ਲੱਗਾਤਾਰ ਮੋਨਿਟਰ ਅਤੇ ਰੋਜ਼ਾਨਾ ਸੁਰੱਖਿਆ ਨੂੰ ਅਪਡੇਟ ਕਰਦਾ ਹੈ
- ਨਵੇਂ ਇੰਜੈਕਸ਼ਨ ਤਕਨੀਕਾਂ ਅਤੇ ਹਮਲਾ ਰਸਤੇ ਲਈ ਪ੍ਰਣਾਲੀਬੱਧ ਧੁੰਧਲਾਅ ਖੋਜ
- ਨਵੀਆਂ ਖ਼ਤਰਿਆਂ ਦੇ ਖਿਲਾਫ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਹਿਣ ਲਈ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਪਡੇਟ ਰਖਣਾ
-
Azure ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਏਕਤਾ
- ਵਿਸਤ੍ਰਿਤ Azure AI ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਸੂਟ ਦਾ ਹਿੱਸਾ
- ਜੇਲਬਰੇਕ ਕੋਸ਼ਿਸ਼ਾਂ, ਨੁਕਸਾਨਦਾਇਕ ਸਮੱਗਰੀ ਅਤੇ ਸੁਰੱਖਿਆ ਨੀਤੀ ਉਲੰਘਣਾਂ ਦੀ ਵਾਧੂ ਪਹਿਚਾਣ
- AI ਐਪਲੀਕੇਸ਼ਨ ਹਿੱਸਿਆਂ ਤੇ ਇਕੱਤਰ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣ
ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਸਰੋਤ: Microsoft Prompt Shields Documentation
ਸੈਸ਼ਨ ਹਾਇਜੈਕਿੰਗ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਇੱਕ ਗੰਭੀਰ ਹਮਲਾ ਰਸਤਾ ਜਿਸ ਵਿੱਚ ਅਣਅਧਿਕ੍ਰਿਤ ਪੱਖੀ ਮਾਨਯੋਗ ਸੈਸ਼ਨ ਪਛਾਣਕਰਤਾ ਹਾਸਲ ਕਰਕੇ ਕਲਾਇੰਟ ਦੇ ਤੌਰ 'ਤੇ ਆਪ ਤੇ ਕੰਮ ਕਰਨ ਲਈ ਜ਼ਲਦਬਾਜ਼ੀ ਕਰਦੇ ਹਨ।
- ਸੈਸ਼ਨ ਹਾਇਜੈਕ ਪ੍ਰਾਂਪਟ ਇੰਜੈਕਸ਼ਨ: ਚੁਰਾਏ ਗਏ ਸੈਸ਼ਨ ID ਨਾਲ ਹਮਲਾਵਰ ਸਰਵਰਾਂ ਵਿੱਚ ਹਮਲਾਸ਼ੀਲ ਘਟਨਾਵਾਂ ਪਰ ਦਖਲਬਾਜ਼ੀ ਕਰਦਾ ਹੈ ਜੋ ਸੈਸ਼ਨ ਸਥਿਤੀ ਸਾਂਝੀ ਕਰਦੇ ਹਨ, ਨੁਕਸਾਨਕਾਰਕ ਕਾਰਵਾਈਆਂ ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀਆਂ ਤੱਕ ਪਹੁੰਚ ਹੋ ਸਕਦੀ ਹੈ
- ਸਿੱਧੀ ਨਕਲ ਅਦਾਇਗੀ: ਚੁਰਾਏ ਗਏ ਸੈਸ਼ਨ ID ਨਾਲ MCP ਸਰਵਰਾਂ ਨੂੰ ਪੁਕਾਰ ਕਰਕੇ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਟਾਲਿਆ ਜਾਂਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਾਨਯੋਗ ਵਰਤੋਂਕਾਰ ਵਜੋਂ ਦਿਖਾਣਾ
- ਖਰਾਬ ਕੀਤਾ ਗਿਆ ਰੀਜ਼ਯੂਮ ਕਰਨ ਯੋਗ ਸਟ੍ਰੀਮ: ਹਮਲਾਵਰ ਬੇਵਕੂਫੀ ਨਾਲ ਬੇਨਤੀ ਰੋਕ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਮਾਨਯੋਗ ਕਲਾਇਂਟ ਸ਼ਾਇਦ ਨੁਕਸਾਨਕਾਰਕ ਸਮੱਗਰੀ ਨਾਲ ਰੀਜ਼ਯੂਮ ਕਰਦੇ ਹਨ
ਗੰਭੀਰ ਜ਼ਰੂਰੀਅਤਾਂ:
- ਪ੍ਰਮਾਣਿਕਤਾ ਪੁਸ਼ਟੀ: MCP ਸਰਵਰਾਂ ਨੂੰ ਸਾਰੇ ਆਵੇਂਦੀਆਂ ਬੇਨਤੀਆਂ ਦੀ ਜਾਂਚ ਕਰਨੀ ਹੀ ਚਾਹੀਦੀ ਹੈ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਸੈਸ਼ਨਾਂ 'ਤੇ ਅਧਾਰ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ
- ਸੁਰੱਖਿਅਤ ਸੈਸ਼ਨ ਪੈਦਾ ਕਰਨ ਵਾਲੀ ਵਿਧੀ: ਸੁਰੱਖਿਅਤ ਅਲਗੋਰੀਦਮਾਂ ਨਾਲ ਗੁਪਤ ਅਤੇ ਅਣਮਨੀਆ ਸੈਸ਼ਨ IDs ਬਣਾਓ
- ਵਿਅਕਤੀਗਤ ਬੰਨ੍ਹਣ: ਸੈਸ਼ਨ IDs ਨੂੰ ਉਪਭੋਗਤਾ-ਵਿਸ਼ੇਸ਼ ਜਾਣਕਾਰੀ ਨਾਲ ਜੁੜਿਆ ਜਾਵੇ ਜਿਵੇਂ
<user_id>:<session_id>ਕਿਸੇ ਹੋਰ ਉਪਯੋਗਤਾ ਦੇ ਸੈਸ਼ਨ ਦੇ ਦੁਰਵਿਵਹਾਰ ਨੂੰ ਰੋਕਣ ਲਈ - ਸੈਸ਼ਨ ਜੀਵਨਚੱਕਰ ਪ੍ਰਬੰਧਨ: ਮਿਆਦ ਖ਼ਤਮ ਕਰਨ, ਰੋਟੇਸ਼ਨ ਅਤੇ ਅਕਾਰਜਕ ਬਣਾਉਣ ਦਵਾਰਾ ਸੰਵੇਦਨਸ਼ੀਲਤਾ ਘਟਾਓ
- ਤਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ: ਸਾਰੇ ਸੰਚਾਰ ਲਈ HTTPS ਲਾਜ਼ਮੀ
ਜਦ MCP ਸਰਵਰ ਗਾਹਕਾਂ ਅਤੇ ਤੀਜੀ ਪੱਖ ਸੇਵਾਵਾਂ ਵਿਚਕਾਰ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਾਕਸੀ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ, ਤਾਂ ਅਧਿਕਾਰ ਪਰਵੇਸ਼ ਨੂੰ ਟਾਲਣ ਲਈ ਸਥਿਰ ਕਲਾਇੰਟ ID ਦੇ ਦੁੱਖਦਾਇਕ ਵਰਤੋਂ ਦੇ ਕਿਰਿਆਸ਼ੀਲਤਾ ਬਨਦੀ ਹੈ।
- ਕੂਕੀ ਅਧਾਰਿਤ ਸਹਿਮਤੀ ਬਾਈਪਾਸ: ਪਿਛਲੇ ਯੂਜ਼ਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਬਣੀਆਂ ਸਹਿਮਤੀ ਕੂਕੀਜ਼ ਜਿਨ੍ਹਾਂ ਨੂੰ ਹਮਲਾਵਰ ਬੇਨਤੀ ਕੀਤੀਆਂ ਗਈਆਂ ਦੁਖਦਾਇਕ ਪ੍ਰਮਾਣਿਕਤਾ ਬੇਨਤੀਆਂ ਨਾਲ crafted redirect URIs ਦੁਆਰਾ ਵਰਤਦੇ ਹਨ
- ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਚੋਰੀ: ਮੌਜੂਦਾ ਸਹਿਮਤੀ ਕੂਕੀਜ਼ ਕਾਰਨ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਸਹਿਮਤੀ ਸਕ੍ਰੀਨ ਨਾ ਦਿਖਾ ਕੇ ਕੋਡਾਂ ਨੂੰ ਹਮਲਾਵਰ ਦੇ ਨਿਯੰਤਰਿਤ ਐਂਡਪੋਇੰਟ ਵੱਲ ਭੇਜਦੇ ਹਨ
- ਅਣਅਧਿਕ੍ਰਿਤ API ਪਹੁੰਚ: ਚੁਰਾਏ ਗਏ ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਟੋਕਨ ਬਦਲਾਅ ਲਈ ਵਰਤ ਕੇ ਬਿਨਾਂ ਮਨਜ਼ੂਰੀ ਦੇ ਯੂਜ਼ਰ ਦੀ ਨਕਲ ਕਰਨਾ
ਲਾਜ਼ਮੀ ਕੰਟਰੋਲ:
- ਖੁੱਲ੍ਹੀ ਸਹਿਮਤੀ ਜ਼ਰੂਰੀਅਤਾਂ: MCP ਪ੍ਰਾਕਸੀ ਸਰਵਰ ਜੋ ਸਥਿਰ ਕਲਾਇੰਟ ID ਵਰਤਦੇ ਹਨ, ਉਨ੍ਹਾਂ ਨੂੰ ਹਰੇਕ ਗਤੀਸ਼ੀਲ ਰਜਿਸਟਰਡ ਕਲਾਇੰਟ ਲਈ ਯੂਜ਼ਰ ਸਹਿਮਤੀ ਲੈਣੀ ਚਾਹੀਦੀ ਹੈ
- OAuth 2.1 ਸੁਰੱਖਿਆ ਲਾਗੂ ਕਰਨਾ: ਸਾਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਬੇਨਤੀਆਂ ਲਈ ਵਰਤਮਾਨ OAuth ਸੁਰੱਖਿਆ ਸ੍ਰੇਸ਼ਠ ਅਭਿਆਸ ਜਿਵੇਂ PKCE ਦੀ ਪਾਲਣਾ ਕੀਤੀ ਜਾਵੇ
- ਕਲਾਇੰਟ ਭਰੋਸਵਾਰ ਪ੍ਰਮਾਣਿਕਤਾ: ਨਿਰਦੇਸ਼(EXPR)ਡ URIs ਅਤੇ ਕਲਾਇੰਟ ਪਛਾਣਕਾਰਾਂ ਦੀ ਕੜੀ ਜਾਂਚ ਕਰਨਾ
ਟੋਕਨ ਪਾਸਥਰੂ ਇੱਕ ਖਾਸ ਗਲਤ ਪ੍ਰਣਾਲੀ ਹੈ ਜਿੱਥੇ MCP ਸਰਵਰ ਬਿਨਾਂ ਜ਼ਰੂਰੀ ਜਾਂਚਾਂ ਦੇ ਕਲਾਇੰਟ ਟੋਕਨ ਲੈਂਦੇ ਅਤੇ ਬਹਿਰਲੇ ਏਪੀਆਈ ਨੂੰ ਭੇਜਦੇ ਹਨ, ਜੋ MCP ਪ੍ਰਮਾਣਿਕਤਾ ਨਿਰਦੇਸ਼ਾਂ ਦਾ ਉਲੰਘਣ ਹੈ।
- ਨਿਯੰਤਰਣ ਤੋਂ ਬਚਾਉਣਾ: ਸਿੱਧਾ ਕਲਾਇੰਟ-ਤੋਂ-ਏਪੀਆਈ ਟੋਕਨ ਵਰਤੋਂ ਦਰਮਿਆਨੀ ਰੇਟ-ਲਿਮਿਟਿੰਗ, ਜਾਂਚ ਅਤੇ ਨਿਗਰਾਨੀ ਕੰਟਰੋਲਾਂ ਨੂੰ ਟਾਲਦਾ ਹੈ
- ਆਡੀਟ ਟਰੇਲ ਖਰਾਬੀ: ਊਪਰਲਾ ਜਾਰੀ ਕੀਤਾ ਟੋਕਨ ਕਲਾਇੰਟ ਪਛਾਣ ਅਸੰਭਵ ਬਣਾਉਂਦਾ ਹੈ, ਘਟਨਾ ਜਾਂਚ ਯੋਗਤਾ ਖ਼ਤਮ ਕਰ ਦਿੰਦਾ ਹੈ
- ਪ੍ਰਾਕਸੀ-ਆਧਾਰਿਤ ਡਾਟਾ ਚੋਰੀ: ਬਿਨਾਂ ਜਾਂਚੇ ਟੋਕਨਾਂ ਨਾਲ ਹਮਲਾਵਰ ਸਰਵਰਾਂ ਨੂੰ ਪ੍ਰਾਕਸੀ ਵਜੋਂ ਵਰਤ ਸਕਦੇ ਹਨ ਅਣਅਧਿਕ੍ਰਿਤ ਡਾਟਾ ਅਕਸੇਸ ਲਈ
- ਭਰੋਸੇ ਦੀ ਹੱਦਾਂ ਦੀ ਉਲੰਘਣਾ: ਜਦ ਟੋਕਨ ਦੀ ਸ਼ੁਰੂਆਤ ਜਾਂਚ ਨਹੀਂ ਹੋ ਸਕਦੀ, ਤਾਂ ਹੇਠਲੀ ਸੇਵਾਵਾਂ ਦੀ ਭਰੋਸਾ ਸੰਖੇਪ ਉਲੰਘਣਾ ਹੋ ਸਕਦੀ ਹੈ
- ਬਹੁ-ਸੇਵਾ ਹਮਲੇ ਦਾ ਵਧਣਾ: ਘਾਟ ਹੋਏ ਟੋਕਨਾਂ ਨਾਲ ਕਈ ਸੇਵਾਵਾਂ 'ਤੇ ਪਾਸਣਾ ਹੋ ਸਕਦਾ ਹੈ
ਲਾਜ਼ਮੀ ਮੰਗਾਂ:
- ਟੋਕਨ ਦੀ ਜਾਂਚ: MCP ਸਰਵਰ ਬਣਾਇਆਂ ਗਈਆਂ ਟੋਕਨਾਂ ਨੂੰ ਹੀ ਸਵੀਕਾਰ ਕਰਨ, ਨਾ ਕਿ ਉਹ ਜੋ ਸਿੱਧੇ ਨਾ MCP ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹੋਣ
- ਦਰਸ਼ਕ ਪੁਸ਼ਟੀ: ਹਮੇਸ਼ਾ ਟੋਕਨ ਦਰਸ਼ਕ ਦਾਅਵਿਆਂ ਨੂੰ MCP ਸਰਵਰ ਦੀ ਪਛਾਣ ਨਾਲ ਮੇਲ ਖਾਣ ਲਈ ਪਰਖੋ
- ਟੋਕਨ ਜੀਵਨਚੱਕਰ: ਛੋਟੇ ਸਮੇਂ ਵਾਲੇ ਐਕਸੈੱਸ ਟੋਕਨਾਂ ਦਾ ਲਾਗੂ ਕਰਨਾ ਅਤੇ ਸੁਰੱਖਿਅਤ ਰੋਟੇਸ਼ਨ ਅਭਿਆਸ
ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਪਰੰਪਰਿਕ ਸਾਫਟਵੇਅਰ ਨਿਰਭਰਤਾਵਾਂ ਤੋਂ ਬਾਹਰ ਫੈਲ ਚੁਕੀ ਹੈ ਅਤੇ ਪੂਰੇ AI ਪਰਿਸ਼ਰ ਨੂੰ ਕਵਰ ਕਰਦੀ ਹੈ। ਆਧੁਨਿਕ MCP ਕਾਰਜਾਨਵਯਨ ਸਾਰੇ AI ਹਿੱਸਿਆਂ ਦੀ ਸਕੂਰਨ ਜਾਂਚ ਅਤੇ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਕਿਉਂਕਿ ਹਰ ਇੱਕ ਸਿਸਟਮ ਸੁਰੱਖਿਆ ਖਤਰੇ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ।
ਪਰੰਪਰਿਕ ਸਾਫਟਵੇਅਰ ਨਿਰਭਰਤਾਵਾਂ:
- ਓਪਨ-ਸੋర్స్ ਲਾਇਬ੍ਰੇਰੀ ਅਤੇ ਫ੍ਰੇਮਵਰਕ
- ਕੰਟੇਨਰ ਇਮੇਜ ਅਤੇ ਬੇਸ ਸਿਸਟਮ
- ਵਿਕਾਸ ਟੂਲ ਅਤੇ ਬਿਲਡ ਪਾਈਪਲਾਈਨ
- ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਤੇ ਸੇਵਾਵਾਂ
AI-ਵਿਸ਼ੇਸ਼ ਸਪਲਾਈ ਚੇਨ ਤੱਤ:
- ਫਾਉਂਡੇਸ਼ਨ ਮਾਡਲ: ਵੱਖ-ਵੱਖ ਪ੍ਰਦਾਤਾਵਾਂ ਤੋਂ ਪ੍ਰੀ-ਟ੍ਰੇਨਡ ਮਾਡਲ, ਜਿਨ੍ਹਾਂ ਦੀ ਨਕਲ ਜਾਂਚ ਲਾਜ਼ਮੀ ਹੈ
- ਐਂਬੇਡਿੰਗ ਸੇਵਾਵਾਂ: ਬਾਹਰੀ ਵੈਕਟਰਾਈਜ਼ੇਸ਼ਨ ਅਤੇ ਅਰਥਪੂਰਨ ਖੋਜ ਸੇਵਾਵਾਂ
- ਸੰਦਰਭ ਪੂਰਕ: ਡਾਟਾ ਸਰੋਤ, ਗਿਆਨ ਭੰਡਾਰ ਅਤੇ ਦਸਤਾਵੇਜ਼ ਰਿਪੋਜ਼ਿਟਰੀਜ਼
- ਤੀਜੀ ਪਾਰਟੀ API: ਬਾਹਰੀ AI ਸੇਵਾਵਾਂ, ML ਪਾਈਪਲਾਈਨ ਅਤੇ ਡਾਟਾ ਪ੍ਰੋਸੈਸਿੰਗ ਐਂਡਪੋਇੰਟ
- ਮਾਡਲ ਆਰਟੀਫੈਕਟ: ਵਜ਼ਨ, ਸੰਰਚਨਾ ਅਤੇ ਬਹੁਤ ਸੁਧਾਰ ਕੀਤੇ ਮਾਡਲ ਵਰਜਨ
- ਪ੍ਰਸ਼ਿਸ਼ਣ ਡਾਟਾ ਸਰੋਤ: ਮਾਡਲ ਟ੍ਰੇਨਿੰਗ ਅਤੇ ਸੁਧਾਰ ਲਈ ਵਰਤੇ ਡਾਟਾਸੈੱਟ
- ਮੂਲ ਸਰੋਤ ਦੀ ਪੁਸ਼ਟੀ: ਸਾਰੇ AI ਹਿੱਸਿਆਂ ਦੇ ਉਤਪੱਤੀ, ਲਾਇਸੈਂਸਿੰਗ ਅਤੇ ਅਖੰਡਤਾ ਦੀ ਜਾਂਚ ਕਰੋ
- ਸੁਰੱਖਿਆ ਮੁਲਾਂਕਣ: ਮਾਡਲ, ਡਾਟਾ ਸਰੋਤਾਂ ਅਤੇ AI ਸੇਵਾਵਾਂ ਲਈ ਖਤਰੇ ਦੀ ਜਾਂਚ
- ਖਿਆਤੀ ਵਿਸ਼ਲੇਸ਼ਣ: AI ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਦੀ ਸੁਰੱਖਿਆ ਪ੍ਰਥਾਵਾਂ ਅਤੇ ਪ੍ਰਦਰਸ਼ਨ ਦੀ ਸਰਗਰਮੀ
- ਨਿਯਮਾਂ ਅਨੁਕੂਲਤਾ ਜਾਂਚ: ਸਾਰੇ ਹਿੱਸੇ ਸੰਸਥਾਨਕ ਸੁਰੱਖਿਆ ਅਤੇ ਕਾਨੂੰਨੀ ਮਿਆਰੀਆਂ ਤੇ ਖਰੇ ਹੋਣ
- ਆਟੋਮੈਟਿਕ CI/CD ਸੁਰੱਖਿਆ: ਆਟੋਮੈਟਿਕ ਡਿਪਲੋਇਮੈਂਟ ਦੌਰਾਨ ਸੁਰੱਖਿਆ ਸਕੈਨਿੰਗ ਸ਼ਾਮਲ ਕਰਨਾ
- ਆਰਟੀਫੈਕਟ ਅਖੰਡਤਾ: ਤਕਨੀਕੀ ਪ੍ਰਮਾਣਿਕਤਾ ਵਰਗੇ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਜਾਂਚਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨਾ
- ਚਰਨਵਾਰ ਡਿਪਲੋਇਮੈਂਟ: ਹਰ ਚਰਨ ਤੇ ਸੁਰੱਖਿਆ ਪੁਸ਼ਟੀ ਨਾਲ ਪ੍ਰਗਟਿਸੀਲਖ ਡਿਪਲੋਇਮੈਂਟ
- ਭਰੋਸੇਯੋਗ ਆਰਟੀਫੈਕਟ ਰਿਪੋਜ਼ਿਟਰੀਜ਼: ਕੇਵਲ ਜਾਂਚਿਆਂ ਅਤੇ ਸੁਰੱਖਿਅਤ ਸਟੋਰੈਜ ਤੋਂ ਡਿਪਲੋਇਮੈਂਟ
- ਨਿਰਭਰਤਾ ਸਕੈਨਿੰਗ: ਸਾਰੇ ਸਾਫਟਵੇਅਰ ਅਤੇ AI ਘਟਕ ਨਿਰਭਰਤਾ ਲਈ ਨਿਰੰਤਰ ਤજਦੀਕ
- ਮਾਡਲ ਨਿਗਰਾਨੀ: ਮਾਡਲ ਵਿਹਾਰ, ਕਾਰਗੁਜ਼ਾਰੀ ਢਲਾਨ ਅਤੇ ਸੁਰੱਖਿਆ ਅਸਧਾਰਤਾ ਦਾ ਲਗਾਤਾਰ ਮੁਲਾਂਕਣ
- ਸੇਵਾ ਸਿਹਤ ਟ੍ਰੈਕਿੰਗ: ਬਾਹਰੀ AI ਸੇਵਾਵਾਂ ਦੀ ਉਪਲਬਧਤਾ, ਘਟਨਾ ਅਤੇ ਨੀਤੀ ਬਦਲਾਅ ਦੀ ਨਿਗਰਾਨੀ
- ਖ਼ਤਰਾ ਬੁੱਧਿਮਤਾ ਏਕਤਾ: AI ਅਤੇ ML ਸੁਰੱਖਿਆ ਖ਼ਤਰਿਆਂ ਲਈ ਖ਼ਤਰਾ ਫੀਡ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ
- ਘਟਕ-ਸਤਰੀ ਇਜਾਜ਼ਤਾਂ: ਕਾਰੋਬਾਰੀ ਜ਼ਰੂਰਤ ਦੇ ਆਧਾਰ 'ਤੇ ਮਾਡਲ, ਡਾਟਾ ਅਤੇ ਸੇਵਾਵਾਂ ਦਾ ਪਹੁੰਚ ਸੀਮਿਤ ਕਰਨਾ
- ਸੇਵਾ ਖਾਤਾ ਪ੍ਰਬੰਧਨ: ਘੱਟੋ-ਘੱਟ ਲੋੜੀਂਦੇ ਅਧਿਕਾਰਾਂ ਨਾਲ ਸਮਰਪਿਤ ਸੇਵਾ ਖਾਤੇ ਲਾਗੂ ਕਰਨਾ
- ਨੈੱਟਵਰਕ ਵਿਭਾਜਨ: AI ਹਿੱਸਿਆਂ ਨੂੰ ਅਲੱਗ ਕਰਨਾ ਅਤੇ ਸੇਵਾਵਾਂ ਬੀਚ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਸੀਮਿਤ ਕਰਨਾ
- API ਗੇਟਵੇ ਕੰਟਰੋਲ: ਬਾਹਰੀ AI ਸੇਵਾਵਾਂ ਦੀ ਪਹੁੰਚ ਲਈ ਕੇਂਦਰਿਤ API ਗੇਟਵੇਜ਼ ਦੀ ਵਰਤੋਂ ਅਤੇ ਨਿਗਰਾਨੀ
- ਤੇਜ਼ ਪ੍ਰਤੀਕਿਰਿਆ ਕਾਰਜਵਾਹੀ: ਪ੍ਰਭਾਵਿਤ AI ਹਿੱਸਿਆਂ ਨੂੰ ਪੈਚ ਕਰਨ ਜਾਂ ਬਦਲਣ ਲਈ ਪ੍ਰਣਾਲੀਬੱਧ ਪ੍ਰਕਿਰਿਆਵਾਂ
- ਪਹਿਚਾਣ ਘੁਮਾੳ਼ਾ: ਸੀਕ੍ਰੇਟ, API ਕੁੰਜੀਆਂ ਅਤੇ ਸੇਵਾ ਪ੍ਰਮਾਣਪੱਤਰਾਂ ਦੀ ਆਟੋਮੈਟਿਕ ਘੁਮਾੳ਼ਾ ਪ੍ਰਣਾਲੀ
- ਰੋਲਬੈਕ ਯੋਗਤਾਵਾਂ: ਪੁਰਾਣੀਆਂ ਜਾਣੀ-ਪਹਿਚਾਣੀਆਂ ਅਤੇ ਚੰਗੀਆਂ ਵਰਜਨਾਂ ਵੱਲ ਜਲਦੀ ਵਾਪਸ ਜਾਣ ਦੀ ਸਮਰੱਥਾ
- ਸਪਲਾਈ ਚੇਨ ਉਲੰਘਣਾ ਮੁਕਾਬਲਾ: ਉੱਪਰੀ ਪਾਸੇ AI ਸੇਵਾ ਘਾਟ ਲਈ ਖ਼ਾਸ ਪ੍ਰਕਿਰਿਆਵਾਂ
GitHub Advanced Security ਵਿਆਪਕ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਮੁਹੱਈਆ ਕਰਦਾ ਹੈ:
- ਗੁਪਤ ਜਾਣਕਾਰੀ ਸਕੈਨਿੰਗ: ਰਿਪੋਜ਼ਿਟਰੀਜ਼ ਵਿੱਚ ਪ੍ਰਮਾਣਪੱਤਰ, API ਕੁੰਜੀਆਂ ਅਤੇ ਟੋਕਨਾਂ ਦੀ ਆਟੋਮੈਟਿਕ ਪਹਿਚਾਣ
- ਨਿਰਭਰਤਾ ਸਕੈਨਿੰਗ: ਓਪਨ-ਸੋర్స్ ਨਿਰਭਰਤਾ ਅਤੇ ਲਾਇਬ੍ਰੇਰੀਆਂ ਲਈ ਖਤਰਾ ਮੁਲਾਂਕਣ
- CodeQL ਵਿਸ਼ਲੇਸ਼ਣ: ਸੁਰੱਖਿਆ ਜੋਖਮੀ ਅਤੇ ਕੋਡ ਸਮੱਸਿਆਵਾਂ ਲਈ ਸਥਿਰ ਕੋਡ ਵਿਸ਼ਲੇਸ਼ਣ
- ਸਪਲਾਈ ਚੇਨ ਜਾਣਕਾਰੀਆਂ: ਨਿਰਭਰਤਾ ਸਿਹਤ ਅਤੇ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਦਾ ਦ੍ਰਿਸ਼ਟੀਕੋਣ
Azure DevOps ਅਤੇ Azure Repos ਏਕਤਾ:
- ਮਾਈਕਰੋਸੋਫਟ ਵਿਕਾਸ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਸੁਰੱਖਿਆ ਸਕੈਨਿੰਗ ਦਾ ਬੇਹਤਰੀਨ ਏਕਤਾ
- Azure ਪਾਈਪਲਾਈਨਜ਼ ਵਿੱਚ AI ਵੋರ್ಕਲੋਡ ਲਈ ਆਟੋਮੈਟਿਕ ਸੁਰੱਖਿਆ ਚੈੱਕ
- ਸੁਰੱਖਿਅਤ AI ਹਿੱਸਾ ਡਿਪਲੋਇਮੈਂਟ ਲਈ ਨੀਤੀ ਲਾਗੂ ਕਰਨਾ
ਮਾਈਕਰੋਸੋਫਟ ਅੰਦਰੂਨੀ ਅਭਿਆਸ:
ਮਾਈਕਰੋਸੋਫਟ ਸਾਰੇ ਉਤਪਾਦਾਂ ਵਿੱਚ ਵਿਆਪਕ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਅਭਿਆਸ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਜਾਣੋ The Journey to Secure the Software Supply Chain at Microsoft ਵਿੱਚ ਪ੍ਰਮਾਣਿਤ ਤਰੀਕਿਆਂ ਬਾਰੇ।
MCP ਕਾਰਜਾਨਵਯਨ ਤੁਹਾਡੇ ਸੰਸਥਾ ਦੇ ਮੌਜੂਦਾ ਸੁਰੱਖਿਆ ਅਧਾਰ ਨੂੰ ਵਿਰਾਸਤ ਵਿੱਚ ਲੈਂਦੇ ਅਤੇ ਉਸ ਵਿੱਚ ਸੁਧਾਰ ਕਰਦੇ ਹਨ। ਮੁੱਖ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਬਣਾਉਣਾ AI ਸਿਸਟਮਾਂ ਅਤੇ MCP ਡਿਪਲੋਇਮੈਂਟਸ ਦੀ ਕੁੱਲ ਸੁਰੱਖਿਆ ਵਿੱਚ ਖਾਸ ਵਾਧਾ ਕਰਦਾ ਹੈ।
- OWASP ਅਨੁਕੂਲਤਾ: OWASP Top 10 ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਖਾਮੀਆਂ ਤੋਂ ਰੱਖਿਆ
- AI-ਵਿਸ਼ੇਸ਼ ਸੁਰੱਖਿਆ: OWASP Top 10 for LLMs ਲਈ ਕੰਟਰੋਲ lagu
- ਗੁਪਤ ਜਾਣਕਾਰੀ ਪ੍ਰਬੰਧਨ: ਟੋਕਨਾਂ, API ਕੁੰਜੀਆਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਕਨਫਿਗਰੇਸ਼ਨ ਡਾਟਾ ਲਈ ਵੱਖਰੇ ਵੌਲਟਾਂ ਦਾ ਉਪਯੋਗ
- ਟਾਈਕ ਟੂ ਐਂਡ ਇਨਕ੍ਰਿਪਸ਼ਨ: ਸਾਰੇ ਐਪਲੀਕੇਸ਼ਨ ਹਿੱਸਿਆਂ ਅਤੇ ਡਾਟਾ ਪ੍ਰਵਾਹ ਲਈ ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ ਲਾਗੂ
- ਇਨਪੁੱਟ ਪ੍ਰਮਾਣਿਕਤਾ: ਸਾਰੇ ਯੂਜ਼ਰ ਇਨਪੁੱਟ, API ਪੈਰਾਮੀਟਰ ਅਤੇ ਡਾਟਾ ਸਰੋਤਾਂ ਦੀ ਕੜੀ ਜਾਂਚ
- ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ: ਸਾਰੇ ਪ੍ਰਸ਼ਾਸਕੀ ਅਤੇ ਸੇਵਾ ਖਾਤਿਆਂ ਲਈ ਲਾਜ਼ਮੀ MFA
- ਪੈਚ ਪ੍ਰਬੰਧਨ: ਓਐਸ, ਫ੍ਰੇਮਵਰਕ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਲਈ ਆਟੋਮੈਟਿਕ ਸਮੇਂ-ਸਮੇਂ ਤੇ ਪੈਚਿੰਗ
- ਪਹਿਚਾਣ ਪ੍ਰਦਾਤਾ ਏਕਤਾ: ਐਂਟਰਪ੍ਰਾਈਜ਼ ਪਹਿਚਾਣ ਪ੍ਰਦਾਤਾਵਾਂ (Microsoft Entra ID, Active Directory) ਦੇ ਜਰੀਏ ਕੇਂਦਰਿਤ پਹਿਚਾਣ ਪ੍ਰਬੰਧਨ
- ਨੈੱਟਵਰਕ ਵਿਭਾਜਨ: ਲੈਟਰਲ ਮੂਵਮੈਂਟ ਨੂੰ ਲਿਮਿਟ ਕਰਨ ਲਈ MCP ਹਿੱਸਿਆਂ ਦਾ ਲਾਜਿਕਲ ਵੰਡ
- ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ ਦਾ ਸਿਧਾਂਤ: ਸਾਰੇ ਸਿਸਟਮ ਹਿੱਸਿਆਂ ਅਤੇ ਖਾਤਿਆਂ ਲਈ ਘੱਟੋ-ਘੱਟ ਲੋੜੀਂਦੇ ਅਧਿਕਾਰ
- ਵਿਸਤ੍ਰਿਤ ਲੌਗਿੰਗ: AI ਐਪਲੀਕੇਸ਼ਨ ਕਾਰਜਾਂ, ਬਲਦ MCP ਕਲਾਇੰਟ-ਸਰਵਰ ਇੰਟਰੈਕਸ਼ਨਾਂ ਦੀਆਂ ਵਿਸਥਾਰ ਲੌਗਾਂ
- SIEM ਏਕਤਾ: ਅਪਰਾਧ-ਰਾਹਤ ਪਤਾ ਲਗਾਉਣ ਲਈ ਕੇਂਦਰਿਤ ਸੁਰੱਖਿਆ ਜਾਣਕਾਰੀ ਅਤੇ ਘਟਨਾ ਪ੍ਰਬੰਧਨ
- ਵਿਹਾਰਕ ਵਿਸ਼ਲੇਸ਼ਣ: ਸੰਸਥਾ ਅਤੇ ਯੂਜ਼ਰ ਵਿਹਾਰ ਵਿੱਚ ਅਸਧਾਰਿਤ ਪੈਟਰਨ ਦੀ ਪਹਿਚਾਣ ਲਈ AI-ਚਲਿਤ ਨਿਗਰਾਨੀ
- ਖ਼ਤਰਾ ਬੁੱਧਿਮਤਾ: ਬਾਹਰੀ ਖ਼ਤਰਾ ਫੀਡਾਂ ਅਤੇ ਸੰਕੇਤਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ
- ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ: ਸੁਰੱਖਿਆ ਘਟਨਾ ਪਤਾ ਲਗਾਉਣ, ਜਵਾਬ ਅਤੇ ਪੂੰਨਰਵਾਸ ਲਈ ਸੂਚਿਤ ਪ੍ਰਕਿਰਿਆਵਾਂ
- ਕਦੇ ਭਰੋਸਾ ਨਾ ਕਰੋ, ਹਮੇਸ਼ਾ ਪੁਸ਼ਟੀ ਕਰੋ: ਉਪਭੋਗਤਾ, ਉਪਕਾਰਣ ਅਤੇ ਨੈੱਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਲਗਾਤਾਰ ਪੁਸ਼ਟੀ
- ਮਾਈਕਰੋ-ਵਿਭਾਜਨ: ਵਿਅਕਤੀਗਤ ਵਰਕਲੋਡ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਅਲੱਗ ਕਰਨ ਵਾਲੇ ਜਟਿਲ ਨੈੱਟਵਰਕ ਕੰਟਰੋਲ
- ਪਹਿਚਾਣ-ਕੇਂਦ੍ਰਿਤ ਸੁਰੱਖਿਆ: ਨੈੱਟਵਰਕ ਸਥਾਨ ਦੀ ਬਜਾਏ ਪੁਸ਼ਟੀ ਕੀਤੀ ਪਹਿਚਾਣ 'ਤੇ ਆਧਾਰਿਤ ਨੀਤੀਆਂ
- ਲਗਾਤਾਰ ਖ਼ਤਰਾ ਮੁਲਾਂਕਣ: ਮੌਜੂਦਾ ਸੰਦਰਭ ਅਤੇ ਕਾਰਵਾਈ ਦੇ ਅਧਾਰ 'ਤੇ ਗਤਿਸੀਲ ਸੁਰੱਖਿਆ ਅਵਸਥਾ ਮੁਲਾਂਕਣ
- ਸ਼ਰਤੀ ਪਹੁੰਚ: ਜੋਖਮ ਕਾਰਕ, ਸਥਾਨ ਅਤੇ ਡਿਵਾਈਸ ਭਰੋਸਾ ਦੇ ਮੁਤਾਬਕ ਪਹੁੰਚ ਨਿਯੰਤਰਣ
- Microsoft Defender for Cloud: ਵਿਸਤ੍ਰਿਤ ਕਲਾਉਡ ਸੁਰੱਖਿਆ ਅਵਸਥਾ ਪ੍ਰਬੰਧਨ
- Azure Sentinel: AI ਵੋర్కਲੋਡ ਸੁਰੱਖਿਆ ਲਈ ਕਲਾਉਡ-ਸਟ੍ਰੇਲ SIEM ਅਤੇ SOAR ਸਮਰੱਥਾ
- Microsoft Entra ID: ਸ਼ਰਤੀ ਪਹੁੰਚ ਨੀਤੀਆਂ ਨਾਲ ਏਂਟਰਪ੍ਰਾਈਜ਼ ਪਹਿਚਾਣ ਅਤੇ ਪਹੁੰਚ ਪ੍ਰਬੰਧਨ
- Azure Key Vault: ਹਾਰਡਵੇਅਰ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ ਨਾਲ ਕੇਂਦਰਿਤ ਗੁਪਤ ਜਾਣਕਾਰੀ ਪ੍ਰਬੰਧਨ
- Microsoft Purview: AI ਡਾਟਾ ਸਰੋਤਾਂ ਅਤੇ ਵਰਕਫਲੋ ਲਈ ਡਾਟਾ ਗਵਰਨੈਂਸ ਅਤੇ ਨਿਯਮ ਅਨੁਕੂਲਤਾ
- ਨਿਯਮਕ ਅਨੁਕੂਲਤਾ: MCP ਕਾਰਜਾਨਵਯਨ ਉਦਯੋਗ-ਖਾਸ ਨਿਯਮਾਂ (GDPR, HIPAA, SOC 2) ਅਨੁਸਾਰ
- ਡਾਟਾ ਵਰਗੀਕਰਨ: AI ਸਿਸਟਮ ਦੁਆਰਾ ਪ੍ਰੋਸੈਸ ਕੀਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟੇ ਦੀ ਸਹੀ ਵਰਗੀਕਰਨ ਅਤੇ ਹੇਠਾਂਵਾਲਾ
- ਆਡੀਟ ਟ੍ਰੇਲ: ਨਿਯਮਕਤਾ ਅਤੇ ਫੋਰੈਂਸਿਕ ਜਾਂਚ ਲਈ ਵਿਸਤ੍ਰਿਤ ਲੌਗਿੰਗ
- ਗੋਪਨੀਯਤਾ ਨਿਯੰਤਰਣ: AI ਸਿਸਟਮ ਆਰਕੀਟੈਕਚਰ ਵਿੱਚ ਗੋਪਨੀਯਤਾ-ਦਰਜ ਕਰਨਾ
- ਬਦਲਾਅ ਪ੍ਰਬੰਧਨ: AI ਸਿਸਟਮ ਸੋਧਾਂ ਦੀ ਸੁਰੱਖਿਆ ਸਮੀਖਿਆ ਲਈ ਅਧਿਕਾਰਿਤ ਪ੍ਰਕਿਰਿਆਵਾਂ
ਇਹ ਮੁੱਖ ਅਭਿਆਸ ਦ੍ਰਿੜ ਸੁਰੱਖਿਆ ਬੁਨਿਆਦ ਬਣਾਉਂਦੇ ਹਨ ਜੋ MCP-ਵਿਸ਼ੇਸ਼ ਸੁਰੱਖਿਆ ਕੰਟਰੋਲਾਂ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਵਿੱਚ ਵਾਧਾ ਕਰਦੇ ਹਨ ਅਤੇ AI ਚਲਾਏ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਦਿੰਦੇ ਹਨ।
-
ਪੜਤਾਲੀ ਸੁਰੱਖਿਆ ਪਹੁੰਚ: ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਅਮਲ (ਸੁਰੱਖਿਅਤ ਕੋਡ ਲਿਖਣਾ, ਘੱਟੋ-ਘੱਟ ਅਧਿਕਾਰ, ਸਪਲਾਈ ਚੇਨ ਜਾਂਚ, ਲਗਾਤਾਰ ਨਿਗਰਾਨੀ) ਨੂੰ AI-ਖਾਸ ਨਿਯੰਤਰਣਾਂ ਨਾਲ ਜੋੜ ਕੇ ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਨਿਵਾਰਣ
-
AI-ਖਾਸ ਖ਼ਤਰੇ ਦਾ ਮੈਦਾਨ: MCP ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਵਿਲੱਖਣ ਜੋਖਮਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਪ੍ਰਾਂਪਟ ਇੰਜੈਕਸ਼ਨ, ਟੂਲ ਜਹਿਰਲੀਕਰਨ, ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ, ਗੁੰਝਲਦਾਰ ਡਿਪਟੀ ਸਮੱਸਿਆਵਾਂ, ਟੋਕਨ ਪਾਸਥਰੂ ਕਮਜ਼ੋਰੀਆਂ, ਅਤੇ ਬੇਹੱਦ ਅਧਿਕਾਰ ਜੋ ਵਿਸ਼ੇਸ਼ ਨਿਵਾਰਣ ਮੰਗਦੀਆਂ ਹਨ
-
ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਅਥਾਰਟੀਜ਼ੇਸ਼ਨ ਵਿੱਚ ਕੁਸ਼ਲਤਾ: ਬਾਹਰੀ ਪਛਾਣ ਪ੍ਰਦਾਤਾਵਾਂ (Microsoft Entra ID) ਨਾਲ ਮਜ਼ਬੂਤ ਪ੍ਰਮਾਣਿਕਤਾ ਲਾਗੂ ਕਰੋ, ਟੋਕਨਾਂ ਦੀ ਸਹੀ ਪੁਸ਼ਟੀ ਕਰੋ, ਅਤੇ ਕਦੇ ਵੀ ਉਹ ਟੋਕਨ ਨਾ ਸਵੀਕਾਰੋ ਜੋ ਤੁਸੀਂ ਦੇ ਅਧੀਨ MCP ਸਰਵਰ ਲਈ ਖਾਸ ਤੌਰ ਤੇ ਜਾਰੀ ਨਾ ਹੋਣ
-
AI ਹਮਲਿਆਂ ਦੀ ਰੋਕਥਾਮ: ਮਾਈਕ੍ਰੋਸੋਫਟ ਪ੍ਰਾਂਪਟ ਸ਼ੀਲਡਜ਼ ਅਤੇ ਅਜ਼ਯੂਰ ਕੰਟੈਂਟ ਸੇਫਟੀ ਦਾ ਇਸਤੇਮਾਲ ਕਰਦੇ ਹੋਏ ਪਰੋਕਸੀ ਪ੍ਰਾਂਪਟ ਇੰਜੈਕਸ਼ਨ ਅਤੇ ਟੂਲ ਜਹਿਰਲੀਕਰਨ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਅ ਕਰੋ, ਜਦਕਿ ਟੂਲ ਮੈਟਾਡੇਟਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ ਅਤੇ ਗਤਿਮਾਨ ਤਬਦੀਲੀਆਂ ਲਈ ਨਿਗਰਾਨੀ ਕਰੋ
-
ਸੈਸ਼ਨ ਅਤੇ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ: ਯੂਜ਼ਰ ਪਛਾਣਾਂ ਨਾਲ ਜੁੜੇ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕਲੀ ਸੁਰੱਖਿਅਤ, ਗੈਰ-ਫੈਸਲਾ ਕਾਬਿਲ ਸੈਸ਼ਨ ID ਵਰਗੇ ਜ਼ਰੀਏ, ਸੈਸ਼ਨ ਲਾਈਫਸਾਈਕਲ ਪ੍ਰਬੰਧਨ ਤੇ ਢੰਗ ਨਾਲ ਲਾਗੂ ਕਰੋ ਅਤੇ ਕਦੇ ਵੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਸੈਸ਼ਨਾਂ ਦਾ ਇਸਤੇਮਾਲ ਨਾ ਕਰੋ
-
OAuth ਸੁਰੱਖਿਆ ਦੀਆਂ ਵਧੀਆ ਪ੍ਰਥਾਵਾਂ: ਗੁੰਝਲਦਾਰ ਡਿਪਟੀ ਹਮਲਿਆਂ ਤੋਂ ਬਚਣ ਲਈ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਦਰਜ ਕੀਤੇ ਗਏ ਕਲਾਇੰਟਾਂ ਲਈ ਸਾਫ਼ ਯੂਜ਼ਰ ਸਹਿਮਤੀ ਲਾਗੂ ਕਰੋ, OAuth 2.1 ਨੂੰ PKCE ਨਾਲ ਢੰਗ ਨਾਲ ਲਾਗੂ ਕਰੋ, ਅਤੇ ਸਖ਼ਤ ਰੀਡਾਇਰੈਕਟ URI ਪੁਸ਼ਟੀ ਵਿੱਚ ਰੱਝੇ ਰਹੋ
-
ਟੋਕਨ ਸੁਰੱਖਿਆ ਸਿਧਾਂਤ: ਟੋਕਨ ਪਾਸਥਰੂ ਐਂਟੀ-ਪੈਟਰਨ ਤੋਂ ਬਚੋ, ਟੋਕਨ ਦਰਸ਼ਕ ਦਾਵਿਆਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ, ਛੋਟੇ ਸਮੇਂ ਵਾਲੇ ਟੋਕਨ ਸੁਰੱਖਿਅਤ ਤਬਾਦਲੇ ਨਾਲ ਲਾਗੂ ਕਰੋ, ਅਤੇ ਸਾਫ਼ ਭਰੋਸਾ ਸੀਮਾਵਾਂ ਬਣਾਓ
-
ਵਿਆਪਕ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ: ਸਾਰੇ AI ਵਾਤਾਵਰਣ ਦੇ ਹਿੱਸਿਆਂ (ਮਾਡਲ, ਇਮਬੈਡਿੰਗ, ਸੰਦਰਭ ਪ੍ਰਦਾਤਾ, ਬਾਹਰੀ API) ਨੂੰ ਪਰੰਪਰਾਗਤ ਸਾਫਟਵੇਅਰ ਨਿਰਭਰਤਾਵਾਂ ਦੀ ਤਰ੍ਹਾਂ ਇੱਕੋ ਸਮਾਨ ਸੁਰੱਖਿਆ ਕਸਰਤ ਦੇ ਨਾਲ ਸੰਭਾਲੋ
-
ਲਗਾਤਾਰ ਵਿਕਾਸ: ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਸਿਤ ਹੋ ਰਹੇ MCP ਵਿਸ਼ੇਸ਼ਣਾਂ ਦੇ ਨਾਲ ਅਪ-ਟੂ-ਡੇਟ ਰਹੋ, ਸੁਰੱਖਿਆ ਸਮੁਦਾਇਕ ਮਿਆਰ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਓ, ਅਤੇ ਪ੍ਰੋਟੋਕੌਲ ਦੇ ਪਰਿਪੱਕਵ ਹੋਣ ਨਾਲ ਅਨੁਕੂਲ ਸੁਰੱਖਿਆ ਸਥਿਤੀਆਂ ਬਣਾਈ ਰੱਖੋ
-
ਮਾਈਕ੍ਰੋਸੋਫਟ ਸੁਰੱਖਿਆ ਏਕੀਕਰਨ: MCP ਤਾਇਨਾਤੀ ਸੁਰੱਖਿਆ ਵਧਾਉਣ ਲਈ ਮਾਈਕ੍ਰੋਸੋਫਟ ਦੇ ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਵਾਤਾਵਰਨ (ਪ੍ਰਾਂਪਟ ਸ਼ੀਲਡਜ਼, ਅਜ਼ਯੂਰ ਕੰਟੈਂਟ ਸੇਫਟੀ, GitHub Advanced Security, Entra ID) ਦਾ ਲਾਭ ਉਠਾਓ
- MCP ਵਿਸ਼ੇਸ਼ਣ (ਮੌਜੂਦਾ: 2025-11-25)
- MCP ਸੁਰੱਖਿਆ ਵਧੀਆ ਅਮਲ
- MCP ਅਥਾਰਟੀਜ਼ੇਸ਼ਨ ਵਿਸ਼ੇਸ਼ਣ
- MCP GitHub ਰਿਪੋਜ਼ਿਟਰੀ
- OWASP MCP ਅਜ਼ਯੂਰ ਸੁਰੱਖਿਆ ਮਾਰਗਦਰਸ਼ਕ - ਵਿਸਤ੍ਰਿਤ OWASP MCP ਟੌਪ 10 ਅਜ਼ਯੂਰ ਲਾਗੂਕਰਨ ਦਿੱਖਾਅ
- OWASP MCP ਟੌਪ 10 - ਅਧਿਕਾਰਕ OWASP MCP ਸੁਰੱਖਿਆ ਜੋਖਮ
- MCP ਸੁਰੱਖਿਆ ਸਮੀਟ ਵਰਕਸ਼ਾਪ (ਸ਼ੇਰਪਾ) - ਅਜ਼ਯੂਰ 'ਤੇ MCP ਲਈ ਹੱਥ-ਭਰਤੀਆਂ ਸੁਰੱਖਿਆ ਪ੍ਰਸ਼ਿਸ਼ਣ
- OAuth 2.0 ਸੁਰੱਖਿਆ ਵਧੀਆ ਅਮਲ (RFC 9700)
- OWASP ਟੌਪ 10 ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ
- ਵੱਡੇ ਭਾਸ਼ਾਈ ਮਾਡਲਾਂ ਲਈ OWASP ਟੌਪ 10
- ਮਾਈਕ੍ਰੋਸੋਫਟ ਡਿਜੀਟਲ ਡਿਫੈਂਸ ਰਿਪੋਰਟ
- MCP ਵਿੱਚ ਪ੍ਰਾਂਪਟ ਇੰਜੈਕਸ਼ਨ (Simon Willison)
- ਟੂਲ ਜਹਿਰਲੀਕਰਨ ਹਮਲੇ (Invariant Labs)
- MCP ਸੁਰੱਖਿਆ ਖੋਜ ਸਰਵੇਖਣ (Wiz Security)
- ਮਾਈਕ੍ਰੋਸੋਫਟ ਪ੍ਰਾਂਪਟ ਸ਼ੀਲਡਜ਼ ਦਸਤਾਵੇਜ਼
- ਅਜ਼ਯੂਰ ਕੰਟੈਂਟ ਸੇਫਟੀ ਸਰਵਿਸ
- ਮਾਈਕ੍ਰੋਸੋਫਟ Entra ID ਸੁਰੱਖਿਆ
- ਅਜ਼ਯੂਰ ਟੋਕਨ ਪ੍ਰਬੰਧਨ ਵਧੀਆ ਅਮਲ
- GitHub ਅਡਵਾਂਸਤ ਸੁਰੱਖਿਆ
- ਅਜ਼ਯੂਰ API ਪ੍ਰਬੰਧਨ MCP ਪ੍ਰਮਾਣਿਕਤਾ ਗੇਟਵੇ ਵਜੋਂ
- MCP ਸਰਵਰਾਂ ਲਈ Microsoft Entra ID ਪ੍ਰਮਾਣਿਕਤਾ
- ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਸਟੋਰ ਅਤੇ ਇੰਕ੍ਰਿਪਸ਼ਨ (ਵੀਡੀਓ)
ਵਿਸਤ੍ਰਿਤ ਸੁਰੱਖਿਆ ਮਾਰਗਦਰਸ਼ਨ ਲਈ, ਇਸ ਭਾਗ ਵਿੱਚ ਦਿੱਤੇ ਵਿਸ਼ੇਸ਼ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਦੇਖੋ:
- MCP ਸੁਰੱਖਿਆ ਵਧੀਆ ਅਮਲ 2025 - MCP ਲਾਗੂਕਰਨਾਂ ਲਈ ਪੂਰੇ ਸੁਰੱਖਿਆ ਵਧੀਆ ਅਮਲ
- ਅਜ਼ਯੂਰ ਕੰਟੈਂਟ ਸੇਫਟੀ ਲਾਗੂਕਰਨ - ਅਜ਼ਯੂਰ ਕੰਟੈਂਟ ਸੇਫਟੀ ਏਕੀਕਰਨ ਲਈ ਵਿਹੰਗਮ ਉਦਾਹਰਨਾਂ
- MCP ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣ 2025 - MCP ਤਾਇਨਾਤੀ ਲਈ ਤਾਜ਼ਾ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣ ਅਤੇ ਤਕਨੀਕਾਂ
- MCP ਵਧੀਆ ਅਮਲ ਕਵਿਕ ਰੇਫਰੈਂਸ - ਜ਼ਰੂਰੀ MCP ਸੁਰੱਖਿਆ ਅਮਲਾਂ ਲਈ ਤੇਜ਼ ਜਾਣਕਾਰੀਆ
- MCP ਸੁਰੱਖਿਆ ਸਮੀਟ ਵਰਕਸ਼ਾਪ (ਸ਼ੇਰਪਾ) - ਅਜ਼ਯੂਰ ਵਿੱਚ MCP ਸਰਵਰਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਵਿਸਤ੍ਰਿਤ ਹੱਥ-ਭਰਤੀ ਵਰਕਸ਼ਾਪ, ਬੇਸ ਕੈਂਪ ਤੋਂ ਸਮੀਟ ਤੱਕ ਪ੍ਰਗਟਤ ਕੈਂਪਾਂ ਸਮੇਤ
- OWASP MCP ਅਜ਼ਯੂਰ ਸੁਰੱਖਿਆ ਮਾਰਗਦਰਸ਼ਕ - ਸਾਰੇ OWASP MCP ਟੌਪ 10 ਜੋਖਮਾਂ ਲਈ ਰੇਫਰੈਂਸ ਆਰਕੀਟੈਕਚਰ ਅਤੇ ਲਾਗੂਕਰਨ ਮਦਦ
ਅੱਗੇ: ਅਧਿਆਇ 3: ਸ਼ੁਰੂਆਤ
ਅਸਵੀਕਾਰੋਪੱਤਰ: ਇਹ ਦਸਤਾਵੇਜ਼ ਏਆਈ ਅਨੁਵਾਦ ਸੇਵਾ Co-op Translator ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਨੁਵਾਦਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਕਿ ਅਸੀਂ ਸਹੀਤਾ ਲਈ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਾਂ, ਕਿਰਪਾ ਕਰਕੇ ਧਿਆਨ ਦਿਓ ਕਿ ਸਵੈਚਾਲਿਤ ਅਨੁਵਾਦਾਂ ਵਿੱਚ ਗਲਤੀਆਂ ਜਾਂ ਅਣਸਹੀਤੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਮੂਲ ਦਸਤਾਵੇਜ਼ ਆਪਣੇ ਮੂਲ ਭਾਸ਼ਾ ਵਿੱਚ ਅਧਿਕਾਰਿਕ ਸਰੋਤ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਜ਼ਰੂਰੀ ਜਾਣਕਾਰੀ ਲਈ, ਪੇਸ਼ੇਵਰ ਮਨੁੱਖੀ ਅਨੁਵਾਦ ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਅਸੀਂ ਇਸ ਅਨੁਵਾਦ ਦੀ ਵਰਤੋਂ ਨਾਲ ਪੈਦਾ ਹੋਣ ਵਾਲੀਆਂ ਕਿਸੇ ਵੀ ਗਲਤਫ਼ਹਿਮੀਆਂ ਜਾਂ ਗਲਤ ਸਮਝਣ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਨਹੀਂ ਲੈਂਦੇ।