README.md

MCP Security: การปกป้องระบบ AI อย่างครบถ้วน

(คลิกที่ภาพด้านบนเพื่อดูวิดีโอของบทเรียนนี้)

ความปลอดภัยเป็นสิ่งพื้นฐานในการออกแบบระบบ AI ซึ่งเป็นเหตุผลที่เราให้ความสำคัญเป็นส่วนที่สองของบทเรียนนี้ นี่สอดคล้องกับหลักการ Secure by Design ของ Microsoft จาก Secure Future Initiative

โปรโตคอล Model Context (MCP) มอบความสามารถใหม่ที่ทรงพลังให้กับแอปพลิเคชันที่ขับเคลื่อนด้วย AI ในขณะที่ก่อให้เกิดความท้าทายด้านความปลอดภัยเฉพาะที่ลึกซึ้งกว่าสิ่งที่พบในซอฟต์แวร์แบบดั้งเดิม ระบบ MCP ต้องเผชิญกับข้อกังวลด้านความปลอดภัยที่มีอยู่แล้ว (เช่น การเขียนโค้ดที่ปลอดภัย, การใช้สิทธิ์ขั้นต่ำ, ความปลอดภัยของซัพพลายเชน) รวมถึงภัยคุกคามเฉพาะ AI ที่ใหม่ เช่น การฉีดคำสั่ง (prompt injection), การวางยาเครื่องมือ (tool poisoning), การยึดครองเซสชัน, การโจมตี confused deputy, ช่องโหว่ token passthrough, และการปรับเปลี่ยนความสามารถแบบไดนามิก

บทเรียนนี้จะสำรวจความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดในการใช้งาน MCP — ครอบคลุมการตรวจสอบตัวตน, การอนุญาต, สิทธิ์ที่เกินความจำเป็น, การฉีดคำสั่งโดยอ้อม, ความปลอดภัยของเซสชัน, ปัญหา confused deputy, การจัดการโทเค็น และช่องโหว่ซัพพลายเชน คุณจะได้เรียนรู้วิธีควบคุมที่ดำเนินการได้และแนวทางปฏิบัติที่ดีที่สุดเพื่อบรรเทาความเสี่ยงเหล่านี้ พร้อมทั้งใช้ประโยชน์จากโซลูชันของ Microsoft เช่น Prompt Shields, Azure Content Safety และ GitHub Advanced Security เพื่อเสริมความแข็งแกร่งให้กับการใช้งาน MCP ของคุณ

วัตถุประสงค์การเรียนรู้

ในตอนท้ายของบทเรียนนี้ คุณจะสามารถ:

• ระบุภัยคุกคามเฉพาะ MCP: รู้จักความเสี่ยงด้านความปลอดภัยเฉพาะในระบบ MCP รวมทั้งการฉีดคำสั่ง, การวางยาเครื่องมือ, สิทธิ์ที่เกินความจำเป็น, การยึดครองเซสชัน, ปัญหา confused deputy, ช่องโหว่ token passthrough, และความเสี่ยงในซัพพลายเชน
• ใช้การควบคุมความปลอดภัย: นำมาตรการบรรเทาความเสี่ยงที่มีประสิทธิภาพไปใช้ รวมทั้งการตรวจสอบตัวตนที่แข็งแกร่ง, การเข้าถึงแบบสิทธิ์ขั้นต่ำ, การจัดการโทเค็นอย่างปลอดภัย, การควบคุมความปลอดภัยของเซสชัน และการตรวจสอบซัพพลายเชน
• ใช้โซลูชันความปลอดภัยของ Microsoft: เข้าใจและปรับใช้ Microsoft Prompt Shields, Azure Content Safety และ GitHub Advanced Security เพื่อปกป้องงาน MCP ของคุณ
• ยืนยันความปลอดภัยของเครื่องมือ: ตระหนักถึงความสำคัญของการตรวจสอบข้อมูลเมตาของเครื่องมือ, การตรวจตราการเปลี่ยนแปลงแบบไดนามิก และการป้องกันการโจมตีแบบฉีดคำสั่งโดยอ้อม
• บูรณาการแนวทางปฏิบัติที่ดีที่สุด: ผสมผสานหลักการพื้นฐานด้านความปลอดภัยที่มีอยู่ (การเขียนโค้ดอย่างปลอดภัย, การเสริมความแข็งแกร่งของเซิร์ฟเวอร์, zero trust) กับการควบคุมเฉพาะ MCP เพื่อการปกป้องอย่างครบถ้วน

สถาปัตยกรรมและการควบคุมความปลอดภัย MCP

การใช้งาน MCP ในปัจจุบันต้องการแนวทางด้านความปลอดภัยแบบชั้นหลายชั้นที่ครอบคลุมทั้งความปลอดภัยซอฟต์แวร์แบบดั้งเดิมและภัยคุกคามเฉพาะ AI สเปค MCP ที่เปลี่ยนแปลงอย่างรวดเร็วยังคงพัฒนาการควบคุมความปลอดภัย ช่วยให้การรวมกับสถาปัตยกรรมความปลอดภัยองค์กรและแนวทางปฏิบัติที่ดีที่สุดเป็นไปอย่างราบรื่นยิ่งขึ้น

งานวิจัยจาก รายงาน Microsoft Digital Defense แสดงให้เห็นว่า 98% ของการละเมิดที่รายงานสามารถป้องกันได้ด้วยสุขอนามัยความปลอดภัยที่เข้มแข็ง ยุทธศาสตร์การป้องกันที่มีประสิทธิภาพสูงสุดรวมมาตรการความปลอดภัยพื้นฐานกับการควบคุมเฉพาะ MCP — มาตรฐานความปลอดภัยพื้นฐานที่พิสูจน์แล้วยังคงเป็นมาตรการที่มีผลกระทบมากที่สุดในการลดความเสี่ยงด้านความปลอดภัยโดยรวม

ภูมิทัศน์ความปลอดภัยปัจจุบัน

หมายเหตุ: ข้อมูลนี้สะท้อนมาตรฐานความปลอดภัย MCP ณ วันที่ 5 กุมภาพันธ์ 2026 ซึ่งสอดคล้องกับ MCP Specification 2025-11-25 โปรโตคอล MCP ยังคงพัฒนาต่อไปอย่างรวดเร็ว และการใช้งานในอนาคตอาจเพิ่มรูปแบบการตรวจสอบตัวตนและการควบคุมที่ได้รับการปรับปรุง ขอให้ตรวจสอบ MCP Specification ปัจจุบัน, MCP GitHub repository และ เอกสารแนวทางปฏิบัติความปลอดภัย สำหรับคำแนะนำล่าสุดเสมอ

🏔️ เวิร์กช็อป MCP Security Summit (Sherpa)

สำหรับ การฝึกอบรมความปลอดภัยเชิงปฏิบัติ เราขอแนะนำอย่างยิ่งให้เข้าร่วม เวิร์กช็อป MCP Security Summit (Sherpa) — การเดินทางที่มีการชี้แนะอย่างละเอียดเพื่อการรักษาความปลอดภัยเซิร์ฟเวอร์ MCP บน Microsoft Azure

ภาพรวมเวิร์กช็อป

เวิร์กช็อป MCP Security Summit ให้การฝึกอบรมด้านความปลอดภัยที่ปฏิบัติงานได้จริงผ่านวิธีการ "ช่องโหว่ → เจาะระบบ → แก้ไข → ยืนยัน" ที่ผ่านการพิสูจน์แล้ว โดยคุณจะได้:

• เรียนรู้ด้วยการทำลายสิ่งต่าง ๆ: สัมผัสช่องโหว่โดยตรงจากการเจาะเซิร์ฟเวอร์ที่ตั้งใจให้ไม่ปลอดภัย
• ใช้ความปลอดภัยแบบเนทีฟของ Azure: ใช้ Azure Entra ID, Key Vault, API Management และ AI Content Safety
• ทำตามแนวทางป้องกันแบบหลายชั้น: ก้าวผ่านค่ายต่าง ๆ เพื่อสร้างชั้นความปลอดภัยที่ครบถ้วน
• ใช้มาตรฐาน OWASP: เทคนิคทั้งหมดสัมพันธ์กับ OWASP MCP Azure Security Guide
• รับโค้ดที่พร้อมใช้งาน: ได้โค้ดทดสอบและทำงานได้จริงกลับไป

เส้นทางการเดินทาง

ค่าย	จุดเน้น	ความเสี่ยง OWASP ที่ครอบคลุม
Base Camp	พื้นฐาน MCP & ช่องโหว่การตรวจสอบตัวตน	MCP01, MCP07
ค่าย 1: ตัวตน	OAuth 2.1, Azure Managed Identity, Key Vault	MCP01, MCP02, MCP07
ค่าย 2: เกตเวย์	API Management, Private Endpoints, การกำกับดูแล	MCP02, MCP07, MCP09
ค่าย 3: ความปลอดภัย I/O	การฉีดคำสั่ง, การปกป้อง PII, ความปลอดภัยเนื้อหา	MCP03, MCP05, MCP06
ค่าย 4: การตรวจตรา	Log Analytics, แดชบอร์ด, การตรวจจับภัยคุกคาม	MCP08
ยอดเขา	การทดสอบการรวมทีม Red Team / Blue Team	ทุกข้อ

เริ่มต้นได้ที่: https://azure-samples.github.io/sherpa/

ความเสี่ยงด้านความปลอดภัย 10 อันดับแรกของ OWASP MCP

OWASP MCP Azure Security Guide ให้รายละเอียดความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสิบประการสำหรับการใช้งาน MCP:

ความเสี่ยง	คำอธิบาย	มาตรการบรรเทาบน Azure
MCP01	การจัดการโทเค็นผิดพลาด & การเปิดเผยความลับ	Azure Key Vault, Managed Identity
MCP02	การเพิ่มสิทธิ์โดยการขยายขอบเขต	RBAC, Conditional Access
MCP03	การวางยาเครื่องมือ	การตรวจสอบเครื่องมือ, การยืนยันความถูกต้อง
MCP04	การโจมตีซัพพลายเชน	GitHub Advanced Security, การสแกน dependencies
MCP05	การฉีดคำสั่ง & การประมวลผลคำสั่ง	การตรวจสอบข้อมูลเข้า, sandboxing
MCP06	การฉีดคำสั่งผ่าน payload ตามบริบท	Azure AI Content Safety, Prompt Shields
MCP07	การตรวจสอบตัวตน & การอนุญาตที่ไม่เพียงพอ	Azure Entra ID, OAuth 2.1 พร้อม PKCE
MCP08	ขาดการตรวจสอบ & เทเลเมทรี	Azure Monitor, Application Insights
MCP09	เซิร์ฟเวอร์ MCP เงา	การกำกับดูแล API Center, การแยกเครือข่าย
MCP10	การฉีดคำสั่งตามบริบท & การเปิดเผยข้อมูลเกินควร	การจัดชั้นข้อมูล, การเปิดเผยอย่างน้อยที่สุด

ความเปลี่ยนแปลงของการตรวจสอบตัวตน MCP

สเปค MCP ได้พัฒนาอย่างมากในแนวทางการตรวจสอบตัวตนและการอนุญาต:

• แนวทางเดิม: สเปคช่วงแรกต้องให้นักพัฒนาสร้างเซิร์ฟเวอร์ตรวจสอบตัวตนเอง โดยที่เซิร์ฟเวอร์ MCP ทำหน้าที่เป็นเซิร์ฟเวอร์ OAuth 2.0 Authorization ที่จัดการการตรวจสอบตัวตนผู้ใช้โดยตรง
• มาตรฐานปัจจุบัน (2025-11-25): สเปคปรับปรุงให้เซิร์ฟเวอร์ MCP สามารถมอบหมายการตรวจสอบตัวตนไปยังผู้ให้บริการตัวตนภายนอก (เช่น Microsoft Entra ID) เพื่อปรับปรุงสถานะความปลอดภัยและลดความซับซ้อนในการใช้งาน
• Transport Layer Security: เพิ่มการสนับสนุนกลไกการขนส่งที่ปลอดภัยด้วยรูปแบบการตรวจสอบตัวตนที่เหมาะสมสำหรับการเชื่อมต่อทั้งแบบท้องถิ่น (STDIO) และระยะไกล (Streamable HTTP)

ความปลอดภัยในการตรวจสอบตัวตน & การอนุญาต

ความท้าทายด้านความปลอดภัยปัจจุบัน

การใช้งาน MCP สมัยใหม่เผชิญกับความท้าทายหลายประการเกี่ยวกับการตรวจสอบตัวตนและการอนุญาต:

ความเสี่ยงและเส้นทางโจมตี

• ตรรกะการอนุญาตที่ตั้งค่าไม่ถูกต้อง: การปฏิบัติงานการอนุญาตผิดพลาดในเซิร์ฟเวอร์ MCP อาจเปิดเผยข้อมูลที่ละเอียดอ่อนและใช้การควบคุมการเข้าถึงผิดพลาด
• การโจมตีโทเค็น OAuth: การขโมยโทเค็นเซิร์ฟเวอร์ MCP ท้องถิ่นทำให้ผู้โจมตีแอบอ้างเป็นเซิร์ฟเวอร์และเข้าถึงบริการปลายทางได้
• ช่องโหว่ token passthrough: การจัดการโทเค็นที่ไม่เหมาะสมก่อให้เกิดการข้ามมาตรการรักษาความปลอดภัยและช่องว่างในการตรวจสอบความรับผิดชอบ
• สิทธิ์เกินจำเป็น: เซิร์ฟเวอร์ MCP ที่มีสิทธิ์เกินขอบเขตทำให้ละเมิดหลักการสิทธิ์ขั้นต่ำและขยายพื้นผิวการโจมตี

Token Passthrough: รูปแบบต่อต้านที่สำคัญ

การใช้ token passthrough ถูกห้ามอย่างชัดเจน ในสเปค MCP การอนุญาตปัจจุบันเนื่องจากมีผลกระทบด้านความปลอดภัยรุนแรง:

การเลี่ยงมาตรการควบคุมความปลอดภัย

• เซิร์ฟเวอร์ MCP และ API ปลายทางนำมาตรการควบคุมความปลอดภัยสำคัญ (เช่น การจำกัดอัตรา, การตรวจสอบคำขอ, การเฝ้าติดตามทราฟฟิก) ที่ขึ้นกับการตรวจสอบโทเค็นที่ถูกต้อง
• การใช้โทเค็นจากไคลเอนต์ไปยัง API โดยตรงข้ามผ่านมาตรการเหล่านี้ ทำลายสถาปัตยกรรมความปลอดภัย

ความท้าทายด้านความรับผิดชอบและการตรวจสอบ

• เซิร์ฟเวอร์ MCP ไม่สามารถแยกแยะได้ว่าไคลเอนต์ใช้โทเค็นที่ออกโดย upstream ไหน ส่งผลให้การตรวจสอบเส้นทางไม่ชัดเจน
• บันทึกของเซิร์ฟเวอร์ทรัพยากรปลายทางแสดงที่มาคำขอแบบผิดพลาดแทนที่จะเป็นตัวกลางเซิร์ฟเวอร์ MCP ที่แท้จริง
• การตรวจสอบเหตุการณ์และการตรวจสอบความสอดคล้องยากขึ้นอย่างมาก

ความเสี่ยงการขโมยข้อมูล

• การร้องขอโทเค็นที่ไม่ได้รับการตรวจสอบเปิดช่องให้ผู้ไม่หวังดีที่มีโทเค็นที่ขโมยมาสามารถใช้เซิร์ฟเวอร์ MCP เป็นพร็อกซีในการขโมยข้อมูล
• การละเมิดเขตความเชื่อถือทำให้เกิดรูปแบบการเข้าถึงที่ไม่ได้รับอนุญาตที่เลี่ยงมาตรการความปลอดภัย

การโจมตีหลายบริการ

• โทเค็นที่ถูกละเมิดและรับโดยบริการหลายบริการช่วยให้เคลื่อนตัวในแนวราบระหว่างระบบที่เชื่อมต่อกัน
• ข้อสมมติฐานความเชื่อถือระหว่างบริการอาจถูกละเมิดเมื่อไม่สามารถตรวจสอบแหล่งโทเค็นได้

การควบคุมและการบรรเทาความเสี่ยงด้านความปลอดภัย

ข้อกำหนดความปลอดภัยที่สำคัญ:

ข้อบังคับ: เซิร์ฟเวอร์ MCP ต้องไม่ ยอมรับโทเค็นใด ๆ ที่ไม่ได้ออกโดยเจตนาให้เป็นโทเค็นสำหรับเซิร์ฟเวอร์ MCP โดยเฉพาะ

การควบคุมการตรวจสอบตัวตนและอนุญาต

• ตรวจสอบการอนุญาตอย่างเข้มงวด: ดำเนินการตรวจสอบอย่างละเอียดเกี่ยวกับตรรกะการอนุญาตของเซิร์ฟเวอร์ MCP เพื่อให้แน่ใจว่าเฉพาะผู้ใช้และไคลเอนต์ที่ตั้งใจเท่านั้นที่เข้าถึงทรัพยากรที่สำคัญได้

  • คู่มือการใช้งาน: Azure API Management เป็นประตูตรวจสอบตัวตนสำหรับเซิร์ฟเวอร์ MCP
  • การผสานตัวตน: การใช้ Microsoft Entra ID สำหรับการตรวจสอบตัวตนเซิร์ฟเวอร์ MCP

• จัดการโทเค็นอย่างปลอดภัย: ใช้ แนวทางปฏิบัติที่ดีที่สุดของ Microsoft ในการตรวจสอบโทเค็นและวงจรชีวิต

  • ตรวจสอบว่า claims ของผู้รับโทเค็นตรงกับตัวตนของเซิร์ฟเวอร์ MCP
  • ใช้นโยบายการหมุนเวียนและหมดอายุของโทเค็นอย่างเหมาะสม
  • ป้องกันการโจมตีแบบโทเค็นซ้ำและการใช้งานโดยไม่ได้รับอนุญาต

• จัดเก็บโทเค็นอย่างปลอดภัย: เก็บโทเค็นโดยเข้ารหัสทั้งที่พักข้อมูลและในระหว่างการส่งผ่าน

  • แนวทางปฏิบัติที่ดีที่สุด: แนวปฏิบัติการจัดเก็บและเข้ารหัสโทเค็นอย่างปลอดภัย

การใช้งานการควบคุมการเข้าถึง

• หลักการสิทธิ์ขั้นต่ำ: มอบสิทธิ์ให้เซิร์ฟเวอร์ MCP เพียงเท่าที่จำเป็นสำหรับฟังก์ชันการทำงานที่ตั้งใจไว้เท่านั้น

  • ตรวจสอบสิทธิ์เป็นประจำและอัปเดตเพื่อป้องกันการเพิ่มสิทธิ์เกินจำเป็น
  • เอกสาร Microsoft: การเข้าถึงที่ปลอดภัยด้วยสิทธิ์ขั้นต่ำ

• การควบคุมการเข้าถึงตามบทบาท (RBAC): ใช้การมอบหมายบทบาทอย่างละเอียด

  • กำหนดขอบเขตของบทบาทให้เข้มงวดกับทรัพยากรและการกระทำที่เฉพาะเจาะจง
  • หลีกเลี่ยงสิทธิ์กว้างหรือไม่จำเป็นที่ขยายพื้นผิวการโจมตี

• การตรวจตราและติดตามสิทธิ์อย่างต่อเนื่อง: ดำเนินการตรวจสอบการเข้าถึงและติดตามอย่างต่อเนื่อง

  • สังเกตลักษณะการใช้สิทธิ์เพื่อค้นหาความผิดปกติ
  • แก้ไขสิทธิ์เกินจำเป็นหรือสิทธิ์ที่ไม่ได้ใช้โดยเร็ว

ภัยคุกคามความปลอดภัยเฉพาะ AI

การฉีดคำสั่ง & การโจมตีการจัดการเครื่องมือ

การใช้งาน MCP ในปัจจุบันเผชิญกับช่องทางการโจมตีที่ซับซ้อนและเฉพาะ AI ซึ่งมาตรการความปลอดภัยแบบดั้งเดิมไม่สามารถรับมือได้อย่างเต็มที่:

การฉีดคำสั่งโดยอ้อม (Cross-Domain Prompt Injection)

การฉีดคำสั่งโดยอ้อม เป็นช่องโหว่สำคัญที่สุดประการหนึ่งในระบบ AI ที่เปิดใช้ MCP ผู้โจมตีฝังคำสั่งที่เป็นอันตรายลงในเนื้อหาภายนอก — เช่น เอกสาร เว็บเพจ อีเมล หรือแหล่งข้อมูล — ซึ่งระบบ AI ประมวลผลต่อมาเป็นคำสั่งที่ถูกต้อง

สถานการณ์การโจมตี:

• การฉีดคำสั่งผ่านเอกสาร: คำสั่งที่เป็นอันตรายซ่อนอยู่ในเอกสารที่ประมวลผล ส่งผลให้ AI ทำงานที่ไม่ตั้งใจ
• การใช้ประโยชน์เนื้อหาเว็บ: เว็บเพจที่ถูกแทรกคำสั่งฝังช่วยบิดเบือนพฤติกรรม AI เมื่อทำการดึงข้อมูล (scrape)
• การโจมตีผ่านอีเมล: คำสั่งที่เป็นอันตรายในอีเมล ทำให้ผู้ช่วย AI รั่วไหลข้อมูลหรือกระทำการที่ไม่ได้รับอนุญาต
• การปนเปื้อนแหล่งข้อมูล: ฐานข้อมูลหรือ API ที่ถูกโจมตีให้ให้เนื้อหาที่ปนเปื้อนต่อระบบ AI

ผลกระทบในโลกจริง: การโจมตีเหล่านี้อาจนำไปสู่การขโมยข้อมูล, การละเมิดความเป็นส่วนตัว, การสร้างเนื้อหาที่เป็นอันตราย และการบิดเบือนการปฏิสัมพันธ์ของผู้ใช้ สำหรับการวิเคราะห์โดยละเอียด ดูที่ Prompt Injection in MCP (Simon Willison)

การโจมตีการวางยาเครื่องมือ (Tool Poisoning Attacks)

การวางยาเครื่องมือ มุ่งเป้าข้อมูลเมตาที่กำหนดเครื่องมือ MCP โดยใช้ประโยชน์จากวิธีที่ LLMs แปลคำอธิบายและพารามิเตอร์ของเครื่องมือเพื่อการตัดสินใจดำเนินการ

กลไกการโจมตี:

• การจัดการข้อมูลเมตา: ผู้โจมตีฉีดคำสั่งที่เป็นอันตรายลงในคำอธิบายเครื่องมือ, คำจำกัดความพารามิเตอร์ หรือ ตัวอย่างการใช้งาน
• คำสั่งที่มองไม่เห็น: คำสั่งที่ซ่อนอยู่ใน metadata ของเครื่องมือที่ AI ประมวลผลแต่ผู้ใช้มนุษย์ไม่เห็น
• การปรับเปลี่ยนเครื่องมือแบบไดนามิก ("Rug Pulls"): เครื่องมือที่ผู้ใช้อนุมัติถูกแก้ไขภายหลังให้ทำการกระทำที่เป็นอันตรายโดยที่ผู้ใช้ไม่ทราบ
• การฉีดพารามิเตอร์: เนื้อหาที่เป็นอันตรายฝังอยู่ในโครงสร้างพารามิเตอร์ของเครื่องมือที่ส่งผลต่อพฤติกรรมของโมเดล

ความเสี่ยงของเซิร์ฟเวอร์โฮสติ้ง: เซิร์ฟเวอร์ MCP ระยะไกลมีความเสี่ยงสูงขึ้นเนื่องจากคำจำกัดความของเครื่องมือสามารถอัปเดตหลังจากได้รับการอนุมัติจากผู้ใช้ ทำให้เครื่องมือที่เคยปลอดภัยกลายเป็นอันตราย สำหรับการวิเคราะห์อย่างครบถ้วน ดูที่ Tool Poisoning Attacks (Invariant Labs)

ช่องทางการโจมตี AI อื่น ๆ

• การฉีดคำสั่งข้ามโดเมน (XPIA): การโจมตีที่ซับซ้อนซึ่งใช้เนื้อหาจากหลายโดเมนเพื่อเลี่ยงมาตรการรักษาความปลอดภัย
• การปรับเปลี่ยนความสามารถแบบไดนามิก: การเปลี่ยนแปลงความสามารถของเครื่องมือแบบเรียลไทม์ที่หลบหลีกการประเมินความปลอดภัยเบื้องต้น
• การโจมตีพิษหน้าต่างบริบท: การโจมตีที่จัดการหน้าต่างบริบทขนาดใหญ่เพื่อซ่อนคำสั่งที่เป็นอันตราย
• การโจมตีสับสนโมเดล: การใช้ประโยชน์จากข้อจำกัดของโมเดลเพื่อสร้างพฤติกรรมที่ไม่คาดคิดหรือไม่ปลอดภัย

ผลกระทบความเสี่ยงด้านความปลอดภัยของ AI

ผลลัพธ์ที่มีผลกระทบสูง:

• การขโมยข้อมูล: การเข้าถึงไม่ได้รับอนุญาตและขโมยข้อมูลที่ละเอียดอ่อนขององค์กรหรือบุคคล
• การละเมิดข้อมูลส่วนบุคคล: การเปิดเผยข้อมูลประจำตัวส่วนบุคคล (PII) และข้อมูลธุรกิจที่เป็นความลับ
• การจัดการระบบผิดพลาด: การแก้ไขระบบและเวิร์กโฟลว์ที่สำคัญโดยไม่ได้ตั้งใจ
• การขโมยข้อมูลรับรอง: การถูกเจาะโทเค็นการพิสูจน์ตัวตนและข้อมูลรับรองบริการ
• การเคลื่อนที่ข้างเคียง: การใช้ระบบ AI ที่ถูกเจาะเป็นศูนย์กลางสำหรับการโจมตีเครือข่ายในวงกว้าง

โซลูชันความปลอดภัย AI ของ Microsoft

AI Prompt Shields: การป้องกันขั้นสูงจากการโจมตีแบบฉีดคำสั่ง (Injection Attacks)

Microsoft AI Prompt Shields ให้การป้องกันแบบครบวงจรต่อการโจมตีแบบฉีดคำสั่งทั้งโดยตรงและโดยอ้อมผ่านหลายชั้นของความปลอดภัย:

กลไกป้องกันหลัก:

1. การตรวจจับและกรองขั้นสูง

   • อัลกอริทึมการเรียนรู้ของเครื่องและเทคนิค NLP ตรวจจับคำสั่งที่เป็นอันตรายในเนื้อหาภายนอก
   • วิเคราะห์เอกสาร เว็บเพจ อีเมล และแหล่งข้อมูลแบบเรียลไทม์เพื่อตรวจหาภัยคุกคามฝังตัว
   • การเข้าใจบริบทของรูปแบบคำสั่งที่ถูกต้องและเป็นอันตราย

2. เทคนิคการเน้นจุด

   • แยกแยะระหว่างคำสั่งระบบที่น่าเชื่อถือและอินพุตภายนอกที่อาจถูกโจมตี
   • วิธีการแปลงข้อความที่เพิ่มความเกี่ยวข้องของโมเดลในขณะเดียวกันก็ตัดเนื้อหาที่เป็นอันตรายออก
   • ช่วยให้ระบบ AI รักษาลำดับคำสั่งที่ถูกต้องและละเลยคำสั่งที่ถูกฉีดเข้ามา

3. ระบบกำหนดขอบเขต & การทำเครื่องหมายข้อมูล

   • กำหนดขอบเขตอย่างชัดเจนระหว่างข้อความระบบที่น่าเชื่อถือและข้อความอินพุตภายนอก
   • มาร์กเกอร์พิเศษเพื่อเน้นขอบเขตระหว่างแหล่งข้อมูลที่น่าเชื่อถือและไม่น่าเชื่อถือ
   • การแยกชัดเจนช่วยป้องกันความสับสนในคำสั่งและการสั่งงานที่ไม่ได้รับอนุญาต

4. ข่าวกรองภัยคุกคามอย่างต่อเนื่อง

   • Microsoft ตรวจสอบรูปแบบการโจมตีใหม่ ๆ อย่างต่อเนื่องและอัปเดตแนวป้องกัน
   • ล่าภัยคุกคามเชิงรุกสำหรับเทคนิคการฉีดคำสั่งและเวกเตอร์การโจมตีใหม่
   • อัปเดตโมเดลความปลอดภัยเป็นประจำเพื่อรักษาประสิทธิภาพต่อภัยคุกคามที่พัฒนาขึ้น

5. การผสานรวม Azure Content Safety

   • ส่วนหนึ่งของชุดความปลอดภัยเนื้อหา Azure AI แบบครบวงจร
   • การตรวจจับเพิ่มเติมสำหรับความพยายามเจลเบรก เนื้อหาที่เป็นอันตราย และการละเมิดนโยบายความปลอดภัย
   • การควบคุมความปลอดภัยแบบรวมศูนย์ข้ามส่วนประกอบแอปพลิเคชัน AI

แหล่งข้อมูลการใช้งาน: Microsoft Prompt Shields Documentation

ภัยคุกคามความปลอดภัย MCP ขั้นสูง

ช่องโหว่การแฮชเซสชัน

การแฮชเซสชัน เป็นเวกเตอร์การโจมตีที่สำคัญในระบบ MCP ที่มีการเก็บสถานะซึ่งฝ่ายที่ไม่ได้รับอนุญาตเข้าถึงและใช้งานตัวระบุเซสชันที่ถูกต้องเพื่อละเมิดเป็นผู้ใช้และดำเนินการโดยไม่ได้รับอนุญาต

สถานการณ์การโจมตีและความเสี่ยง

• การฉีดคำสั่งโดยแฮชเซสชัน: ผู้โจมตีที่ได้รหัสเซสชันขโมยจะฉีดเหตุการณ์ที่เป็นอันตรายเข้าสู่เซิร์ฟเวอร์ที่แชร์สถานะเซสชัน อาจทำให้เกิดการกระทำเป็นอันตรายหรือเข้าถึงข้อมูลที่ละเอียดอ่อน
• การแอบอ้างตัวโดยตรง: รหัสเซสชันที่ถูกขโมยช่วยให้เรียกใช้เซิร์ฟเวอร์ MCP โดยตรงข้ามการพิสูจน์ตัวตน ถือว่าผู้โจมตีเป็นผู้ใช้ที่ถูกต้อง
• การแอบอ้างสตรีมที่สามารถเริ่มใหม่ได้ถูกเจาะ: ผู้โจมตีสามารถยุติคำขอก่อนเวลา ทำให้ลูกค้าที่ถูกต้องต้องเริ่มต้นใหม่ด้วยเนื้อหาที่อาจเป็นอันตราย

มาตรการควบคุมความปลอดภัยสำหรับการจัดการเซสชัน

ข้อกำหนดสำคัญ:

• การยืนยันสิทธิ์: เซิร์ฟเวอร์ MCP ที่ดำเนินการการยืนยันสิทธิ์ ต้อง ตรวจสอบคำขอทั้งหมดย้อนกลับมา และ ห้าม พึ่งพาเซสชันสำหรับการพิสูจน์ตัวตน
• การสร้างเซสชันที่ปลอดภัย: ใช้รหัสเซสชันแบบเข้ารหัสที่ไม่สามารถคาดเดาได้โดยใช้ตัวสุ่มที่ปลอดภัย
• การผูกกับผู้ใช้เฉพาะ: ผูกรหัสเซสชันกับข้อมูลผู้ใช้โดยใช้รูปแบบ เช่น <user_id>:<session_id> เพื่อป้องกันการใช้ข้ามผู้ใช้
• การจัดการอายุเซสชัน: ดำเนินการหมดอายุ หมุนเวียน และยกเลิกเซสชันอย่างเหมาะสมเพื่อจำกัดเวลาที่เปราะบาง
• ความปลอดภัยในการส่งผ่าน: ใช้ HTTPS สำหรับการสื่อสารทั้งหมดเพื่อป้องกันการดักจับรหัสเซสชัน

ปัญหา Confused Deputy

ปัญหา confused deputy เกิดขึ้นเมื่อเซิร์ฟเวอร์ MCP ทำหน้าที่เป็นพร็อกซีพิสูจน์ตัวตนระหว่างลูกค้าและบริการบุคคลที่สาม สร้างโอกาสในการหลีกเลี่ยงการอนุญาตผ่านการใช้ประโยชน์จากไคลเอนต์ไอดีแบบคงที่

กลไกการโจมตีและความเสี่ยง

• การเลี่ยงความยินยอมด้วยคุกกี้: การพิสูจน์ตัวตนผู้ใช้ก่อนหน้าสร้างคุกกี้ความยินยอมที่ผู้โจมตีใช้ประโยชน์ผ่านคำขออนุญาตที่เป็นอันตรายโดยมี URI การเปลี่ยนเส้นทางที่ประดิษฐ์ขึ้น
• การขโมยรหัสอนุญาต: คุกกี้ความยินยอมที่มีอยู่อาจทำให้เซิร์ฟเวอร์อนุญาตข้ามหน้าต่างความยินยอมและเปลี่ยนเส้นทางรหัสไปยังปลายทางที่ผู้โจมตีควบคุม
• การเข้าถึง API โดยไม่ได้รับอนุญาต: รหัสอนุญาตที่ถูกขโมยช่วยให้แลกเปลี่ยนโทเค็นและแอบอ้างผู้ใช้โดยไม่ต้องขออนุมัติอย่างชัดเจน

ยุทธศาสตร์การบรรเทา

การควบคุมที่ต้องปฏิบัติ:

• ข้อกำหนดความยินยอมชัดเจน: เซิร์ฟเวอร์พร็อกซี MCP ที่ใช้ไคลเอนต์ไอดีแบบคงที่ ต้อง ขอความยินยอมจากผู้ใช้สำหรับทุกการลงทะเบียนไคลเอนต์แบบไดนามิก
• การใช้มาตรการความปลอดภัย OAuth 2.1: ปฏิบัติตามแนวทางความปลอดภัย OAuth ล่าสุดรวมถึง PKCE สำหรับคำขออนุญาตทั้งหมด
• การตรวจสอบไคลเอนต์ที่เข้มงวด: ดำเนินการตรวจสอบ URI การเปลี่ยนเส้นทางและไอดีไคลเอนต์อย่างเข้มงวดเพื่อป้องกันการใช้ประโยชน์

ช่องโหว่ Token Passthrough

Token passthrough เป็นแบบแผนที่ตรงกันข้ามโดยชัดเจนซึ่งเซิร์ฟเวอร์ MCP รับโทเค็นของไคลเอนต์โดยไม่ตรวจสอบอย่างถูกต้องและส่งต่อไปยัง API ปลายทาง ทำให้ละเมิดข้อกำหนดการอนุญาตของ MCP

ผลกระทบด้านความปลอดภัย

• การหลีกเลี่ยงการควบคุม: การใช้โทเค็นจากไคลเอนต์ไปยัง API โดยตรง ช่วยข้ามการจำกัดอัตรา การตรวจสอบ และการควบคุมการตรวจจับ
• การทำลายบันทึกการตรวจสอบ: โทเค็นที่ออกจากแหล่งต้นทาง ทำให้ไม่สามารถระบุไคลเอนต์ได้ ส่งผลเสียต่อการสืบสวนเหตุการณ์
• การขโมยข้อมูลผ่านพร็อกซี: โทเค็นที่ไม่ได้ตรวจสอบช่วยให้ผู้ประสงค์ร้ายใช้เซิร์ฟเวอร์เป็นพร็อกซีเพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
• การละเมิดเขตความเชื่อถือ: บริการปลายทางอาจถูกละเมิดสมมติฐานความเชื่อถือเมื่อไม่สามารถตรวจสอบแหล่งที่มาของโทเค็นได้
• การขยายการโจมตีผ่านหลายบริการ: โทเค็นที่ถูกเจาะและยอมรับในหลายบริการช่วยให้เคลื่อนที่ในแนวนอนได้

มาตรการควบคุมความปลอดภัยที่จำเป็น

ข้อกำหนดที่ไม่สามารถต่อรองได้:

• การตรวจสอบโทเค็น: เซิร์ฟเวอร์ MCP ต้องไม่ ยอมรับโทเค็นที่ไม่ได้ออกโดยตรงสำหรับเซิร์ฟเวอร์ MCP
• การยืนยันกลุ่มเป้าหมาย (Audience): ตรวจสอบให้แน่ใจว่าค่ากลุ่มเป้าหมายในโทเค็นตรงกับตัวตนของเซิร์ฟเวอร์ MCP
• การจัดการวงชีวิตโทเค็นที่เหมาะสม: ใช้โทเค็นเข้าถึงที่มีอายุสั้นพร้อมการหมุนเวียนอย่างปลอดภัย

ความปลอดภัยห่วงโซ่อุปทานสำหรับระบบ AI

ความปลอดภัยห่วงโซ่อุปทานได้ขยายไปเกินกว่าการพึ่งพาซอฟต์แวร์แบบดั้งเดิมเพื่อครอบคลุมระบบนิเวศ AI ทั้งหมด การดำเนินการ MCP สมัยใหม่ต้องตรวจสอบและเฝ้าระวังส่วนประกอบ AI ทั้งหมดอย่างเข้มงวด เนื่องจากทุกชิ้นส่วนอาจมีช่องโหว่ที่อาจทำลายความสมบูรณ์ของระบบได้

ส่วนประกอบห่วงโซ่อุปทาน AI ที่ขยายออก

การพึ่งพาซอฟต์แวร์แบบเดิม:

• ไลบรารีและเฟรมเวิร์กโอเพนซอร์ส
• อิมเมจคอนเทนเนอร์และระบบฐาน
• เครื่องมือพัฒนาและสายการสร้าง
• ส่วนประกอบโครงสร้างพื้นฐานและบริการ

ส่วนประกอบห่วงโซ่อุปทานเฉพาะ AI:

• โมเดลพื้นฐาน: โมเดลที่ผ่านการฝึกอบรมล่วงหน้าจากผู้ให้บริการหลากหลายซึ่งต้องตรวจสอบแหล่งที่มา
• บริการ Embedding: บริการเวกเตอร์และการค้นหาความหมายภายนอก
• ผู้ให้บริบท: แหล่งข้อมูล ฐานความรู้ และคลังเอกสาร
• API ของบุคคลที่สาม: บริการ AI ภายนอก, สายการทำงาน ML, และจุดประมวลผลข้อมูล
• อาร์ติแฟกต์ของโมเดล: น้ำหนัก การตั้งค่า และรุ่นโมเดลที่ปรับแต่งแล้ว
• แหล่งข้อมูลฝึกสอน: ชุดข้อมูลที่ใช้สำหรับฝึกอบรมและปรับแต่งโมเดล

ยุทธศาสตร์ความปลอดภัยห่วงโซ่อุปทานครบวงจร

การตรวจสอบและความไว้วางใจในส่วนประกอบ

• การยืนยันแหล่งที่มา: ตรวจสอบต้นกำเนิด การอนุญาต และความสมบูรณ์ของส่วนประกอบ AI ก่อนนำมาใช้
• การประเมินความปลอดภัย: ทำการสแกนช่องโหว่และรีวิวความปลอดภัยสำหรับโมเดล แหล่งข้อมูล และบริการ AI
• การวิเคราะห์ชื่อเสียง: ประเมินประวัติความปลอดภัยและแนวปฏิบัติของผู้ให้บริการ AI
• การตรวจสอบความสอดคล้อง: ตรวจสอบให้แน่ใจว่าส่วนประกอบทั้งหมดสอดคล้องกับข้อกำหนดด้านความปลอดภัยและกฎระเบียบขององค์กร

สายการปรับใช้ที่ปลอดภัย

• การสแกน CI/CD อัตโนมัติ: รวมการสแกนความปลอดภัยตลอดสายการปรับใช้ที่อัตโนมัติ
• ความสมบูรณ์ของอาร์ติแฟกต์: บังคับใช้การตรวจสอบด้วยรหัสลับสำหรับอาร์ติแฟกต์ที่นำไปใช้ทั้งหมด (โค้ด โมเดล การตั้งค่า)
• การปรับใช้ทีละขั้นตอน: ใช้กลยุทธ์ปรับใช้ก้าวหน้าโดยมีการตรวจสอบความปลอดภัยในแต่ละขั้น
• ที่เก็บอาร์ติแฟกต์ที่เชื่อถือได้: นำไปใช้เฉพาะจากรีจิสทรีและที่เก็บอาร์ติแฟกต์ที่ตรวจสอบและปลอดภัย

การตรวจสอบและตอบสนองอย่างต่อเนื่อง

• การสแกนการพึ่งพา: เฝ้าระวังช่องโหว่อย่างต่อเนื่องสำหรับซอฟต์แวร์และส่วนประกอบ AI ทั้งหมด
• การตรวจสอบโมเดล: ประเมินพฤติกรรมโมเดล การเลื่อนประสิทธิภาพ และความผิดปกติด้านความปลอดภัยอย่างต่อเนื่อง
• การติดตามสุขภาพบริการ: เฝ้าระวังบริการ AI ภายนอกสำหรับความพร้อมใช้งาน เหตุการณ์ด้านความปลอดภัย และการเปลี่ยนแปลงนโยบาย
• การรวมข่าวกรองภัยคุกคาม: บูรณาการแหล่งข่าวกรองภัยคุกคามเฉพาะสำหรับความเสี่ยงด้านความปลอดภัย AI และ ML

การควบคุมการเข้าถึง & สิทธิ์อย่างน้อย

• สิทธิ์ระดับส่วนประกอบ: จำกัดการเข้าถึงโมเดล ข้อมูล และบริการตามความจำเป็นทางธุรกิจ
• การจัดการบัญชีบริการ: ใช้บัญชีบริการเฉพาะที่มีสิทธิ์ขั้นต่ำที่จำเป็น
• การแยกเครือข่าย: แยกส่วนประกอบ AI และจำกัดการเข้าถึงเครือข่ายระหว่างบริการ
• การควบคุม API Gateway: ใช้ API Gateway แบบรวมศูนย์เพื่อควบคุมและตรวจสอบการเข้าถึงบริการ AI ภายนอก

การตอบสนองและฟื้นฟูเหตุการณ์

• กระบวนการตอบสนองเร็ว: มีขั้นตอนที่จัดตั้งไว้สำหรับการแพตช์หรือเปลี่ยนส่วนประกอบ AI ที่ถูกเจาะ
• การหมุนเวียนข้อมูลรับรอง: ระบบอัตโนมัติสำหรับการหมุนเวียนความลับ คีย์ API และข้อมูลรับรองบริการ
• ความสามารถย้อนกลับ: ความสามารถในการย้อนกลับไปใช้เวอร์ชันที่รู้จักว่าปลอดภัยของส่วนประกอบ AI อย่างรวดเร็ว
• การฟื้นฟูจากการละเมิดห่วงโซ่อุปทาน: ขั้นตอนเฉพาะสำหรับการตอบสนองต่อการโจมตีบนบริการ AI ต้นน้ำ

เครื่องมือและการผสานความปลอดภัยของ Microsoft

GitHub Advanced Security ให้การปกป้องห่วงโซ่อุปทานอย่างครบวงจร รวมถึง:

• การสแกนความลับ: ตรวจจับอัตโนมัติของข้อมูลรับรอง คีย์ API และโทเค็นในที่เก็บข้อมูล
• การสแกนการพึ่งพา: ประเมินช่องโหว่สำหรับไลบรารีและการพึ่งพาโอเพนซอร์ส
• การวิเคราะห์ CodeQL: การวิเคราะห์โค้ดแบบสแตติกสำหรับช่องโหว่ด้านความปลอดภัยและปัญหาการเขียนโค้ด
• ข้อมูลเชิงลึกห่วงโซ่อุปทาน: การมองเห็นสถานะสุขภาพและความปลอดภัยของการพึ่งพา

การผสาน Azure DevOps & Azure Repos:

• การบูรณาการการสแกนความปลอดภัยอย่างราบรื่นทั่วแพลตฟอร์มการพัฒนาของ Microsoft
• การตรวจสอบความปลอดภัยอัตโนมัติใน Azure Pipelines สำหรับงาน AI
• การบังคับใช้นโยบายสำหรับการปรับใช้ส่วนประกอบ AI ที่ปลอดภัย

แนวทางปฏิบัติภายในของ Microsoft:
Microsoft ใช้แนวทางการรักษาความปลอดภัยห่วงโซ่อุปทานที่ครอบคลุมในผลิตภัณฑ์ทั้งหมด เรียนรู้แนวทางที่พิสูจน์แล้วได้ที่ The Journey to Secure the Software Supply Chain at Microsoft

แนวทางปฏิบัติพื้นฐานความปลอดภัยสำหรับ Foundation

การใช้งาน MCP สืบทอดและสร้างต่อจากท่าทางความปลอดภัยที่มีอยู่ขององค์กรคุณ การเสริมแนวทางปฏิบัติความปลอดภัยพื้นฐานจะช่วยเพิ่มความแข็งแกร่งโดยรวมของระบบ AI และการปรับใช้ MCP อย่างมีนัยสำคัญ

พื้นฐานความปลอดภัยหลัก

แนวปฏิบัติการพัฒนาอย่างปลอดภัย

• การปฏิบัติตาม OWASP: ป้องกันช่องโหว่เว็บแอปพลิเคชันตาม OWASP Top 10
• การป้องกันเฉพาะ AI: นำแนวทางควบคุมสำหรับ OWASP Top 10 สำหรับ LLMs มาใช้
• การจัดการความลับอย่างปลอดภัย: ใช้คลังความลับเฉพาะสำหรับโทเค็น คีย์ API และข้อมูลการตั้งค่าที่ละเอียดอ่อน
• การเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง: ใช้การสื่อสารที่ปลอดภัยตลอดส่วนประกอบแอปพลิเคชันและการไหลของข้อมูล
• การตรวจสอบข้อมูลเข้า: ตรวจสอบข้อมูลที่รับเข้ามาทั้งหมดอย่างเคร่งครัด รวมถึงพารามิเตอร์ API และแหล่งข้อมูล

การเสริมสร้างโครงสร้างพื้นฐาน

• การพิสูจน์ตัวตนหลายปัจจัย: บังคับใช้ MFA สำหรับบัญชีผู้ดูแลและบัญชีบริการทั้งหมด
• การจัดการแพตช์: แพตช์ระบบปฏิบัติการ เฟรมเวิร์ก และการพึ่งพาโดยอัตโนมัติและทันเวลา
• การผสานรวมผู้ให้บริการตัวตน: การจัดการตัวตนแบบรวมศูนย์ผ่านผู้ให้บริการตัวตนองค์กร (Microsoft Entra ID, Active Directory)
• การแยกเครือข่าย: การแยกส่วน MCP อย่างเป็นระบบเพื่อลดโอกาสการเคลื่อนที่ข้างเคียง
• หลักการสิทธิ์น้อยที่สุด: ให้สิทธิ์ที่จำเป็นขั้นต่ำสำหรับทุกส่วนประกอบและบัญชีระบบ

การตรวจสอบและตรวจจับความปลอดภัย

• การบันทึกอย่างครบถ้วน: บันทึกกิจกรรมแอปพลิเคชัน AI อย่างละเอียด รวมถึงการโต้ตอบลูกค้า-เซิร์ฟเวอร์ MCP
• การผสาน SIEM: การจัดการข้อมูลและเหตุการณ์ความปลอดภัยแบบรวมศูนย์สำหรับการตรวจจับความผิดปกติ
• การวิเคราะห์พฤติกรรม: การตรวจสอบด้วย AI เพื่อจับรูปแบบที่ผิดปกติในระบบและพฤติกรรมผู้ใช้
• ข่าวกรองภัยคุกคาม: การผสมผสานแหล่งข่าวภัยคุกคาม และตัวชี้วัดการถูกพิสูจน์ (IOC)
• การตอบสนองเหตุการณ์: กระบวนการที่ชัดเจนสำหรับการตรวจจับและตอบสนองต่อเหตุการณ์ความปลอดภัย

สถาปัตยกรรมศูนย์ความเชื่อถือ (Zero Trust Architecture)

• อย่าไว้ใจเลย ตรวจสอบตลอดเวลา: การตรวจสอบอย่างต่อเนื่องของผู้ใช้ อุปกรณ์ และการเชื่อมต่อเครือข่าย
• การแยกย่อยเครือข่าย (Micro-Segmentation): การควบคุมเครือข่ายละเอียดเพื่อแยกงานและบริการแต่ละอย่าง
• ความปลอดภัยแบบมุ่งเน้นตัวตน: นโยบายความปลอดภัยที่อิงตามตัวตนที่ตรวจสอบแล้วแทนที่จะเป็นตำแหน่งเครือข่าย
• การประเมินความเสี่ยงอย่างต่อเนื่อง: การประเมินสถานะความปลอดภัยแบบไดนามิกตามบริบทและพฤติกรรมปัจจุบัน
• การเข้าถึงแบบมีเงื่อนไข: การควบคุมการเข้าถึงที่ปรับตามปัจจัยความเสี่ยง ตำแหน่ง และความเชื่อถือของอุปกรณ์

รูปแบบการผสานรวมองค์กร

การผสานรวมระบบนิเวศความปลอดภัยของ Microsoft

• Microsoft Defender for Cloud: การจัดการสถานะความปลอดภัยระบบคลาวด์อย่างครบวงจร
• Azure Sentinel: ระบบ SIEM และ SOAR แบบเนทีฟคลาวด์สำหรับปกป้องงาน AI
• Microsoft Entra ID: การจัดการตัวตนและการเข้าถึงองค์กรพร้อมนโยบายการเข้าถึงแบบมีเงื่อนไข
• Azure Key Vault: การจัดการความลับแบบรวมศูนย์พร้อมการรองรับฮาร์ดแวร์ความปลอดภัย (HSM)
• Microsoft Purview: การกำกับดูแลข้อมูลและการปฏิบัติตามข้อกำหนดสำหรับแหล่งข้อมูลและเวิร์กโฟลว์ AI

การปฏิบัติตามกฎระเบียบและการกำกับดูแล

• ความสอดคล้องกับระเบียบข้อบังคับ: ให้การใช้งาน MCP สอดคล้องกับข้อกำหนดเฉพาะอุตสาหกรรม (GDPR, HIPAA, SOC 2)
• การจำแนกข้อมูล: การจัดหมวดหมู่และจัดการข้อมูลละเอียดอ่อนที่ถูกประมวลผลโดยระบบ AI อย่างเหมาะสม
• บันทึกการตรวจสอบ: การบันทึกอย่างครบถ้วนสำหรับการปฏิบัติตามข้อกำหนดและการสืบสวนทางนิติเวช
• การควบคุมความเป็นส่วนตัว: นำหลักการ privacy-by-design มาใช้ในการออกแบบสถาปัตยกรรมระบบ AI
• การจัดการการเปลี่ยนแปลง: กระบวนการอย่างเป็นทางการสำหรับการตรวจสอบความปลอดภัยในการแก้ไขระบบ AI

แนวทางปฏิบัติพื้นฐานเหล่านี้สร้างฐานความปลอดภัยที่แข็งแกร่ง ช่วยเพิ่มประสิทธิภาพของการควบคุมความปลอดภัยที่เฉพาะเจาะจงสำหรับ MCP และให้การปกป้องที่ครอบคลุมสำหรับแอปพลิเคชันที่ขับเคลื่อนด้วย AI

ข้อสรุปสำคัญด้านความปลอดภัย

• แนวทางความปลอดภัยแบบหลายชั้น: ผสานรวมแนวปฏิบัติด้านความปลอดภัยพื้นฐาน (การเขียนโค้ดอย่างปลอดภัย สิทธิ์น้อยที่สุด การตรวจสอบซัพพลายเชน การตรวจสอบความต่อเนื่อง) เข้ากับการควบคุมเฉพาะ AI เพื่อการป้องกันอย่างครอบคลุม

• ภูมิประเทศภัยคุกคามเฉพาะ AI: ระบบ MCP เผชิญความเสี่ยงเฉพาะทาง เช่น การฉีดพรอมต์ การปลอมแปลงเครื่องมือ การแฮ็กเซสชัน ปัญหา confused deputy ช่องโหว่ token passthrough และการให้สิทธิ์เกินความจำเป็น ที่ต้องใช้วิธีแก้เฉพาะทาง

• ความเป็นเลิศด้านการพิสูจน์ตัวตนและการอนุญาต: นำการพิสูจน์ตัวตนอันแข็งแกร่งโดยใช้ผู้ให้บริการตัวตนภายนอก (Microsoft Entra ID) บังคับการตรวจสอบโทเค็นอย่างถูกต้อง และไม่รับโทเค็นที่ไม่ได้ออกอย่างชัดเจนสำหรับเซิร์ฟเวอร์ MCP ของคุณ

• การป้องกันการโจมตี AI: ใช้ Microsoft Prompt Shields และ Azure Content Safety เพื่อป้องกันการโจมตีแบบฉีดพรอมต์ทางอ้อมและการปลอมแปลงเครื่องมือ ขณะเดียวกันตรวจสอบข้อมูลเมตาของเครื่องมือและเฝ้าระวังการเปลี่ยนแปลงแบบไดนามิก

• ความปลอดภัยของเซสชันและการรับส่งข้อมูล: ใช้ session ID ที่ปลอดภัยเชิงเข้ารหัสและไม่กำหนดได้ล่วงหน้าผูกกับตัวตนผู้ใช้ ดำเนินการจัดการวงจรชีวิตเซสชันอย่างเหมาะสม และไม่ใช้เซสชันสำหรับการพิสูจน์ตัวตน

• แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย OAuth: ป้องกันการโจมตี confused deputy โดยได้รับความยินยอมจากผู้ใช้ชัดเจนสำหรับไคลเอนต์ที่ลงทะเบียนแบบไดนามิก ใช้งาน OAuth 2.1 อย่างถูกต้องพร้อม PKCE และตรวจสอบ URI การเปลี่ยนเส้นทางอย่างเคร่งครัด

• หลักการความปลอดภัยโทเค็น: หลีกเลี่ยงแบบแผนโทเค็น passthrough ที่ผิด ตรวสอบคำอ้าง audience ของโทเค็น ใช้โทเค็นอายุสั้นพร้อมหมุนเวียนอย่างปลอดภัย และรักษาขอบเขตความน่าเชื่อถือที่ชัดเจน

• ความปลอดภัยซัพพลายเชนอย่างครอบคลุม: ปฏิบัติต่อส่วนประกอบทุกอย่างในระบบนิเวศ AI (โมเดล, embeddings, ผู้ให้บริการบริบท, API ภายนอก) ด้วยมาตรฐานความปลอดภัยเช่นเดียวกับซอฟต์แวร์ทั่วไป

• วิวัฒนาการอย่างต่อเนื่อง: ติดตามสเปค MCP ที่พัฒนาอย่างรวดเร็ว มีส่วนร่วมกับมาตรฐานชุมชนด้านความปลอดภัย และรักษาท่าทีด้านความปลอดภัยที่ปรับตัวได้เมื่อโปรโตคอลเติบโต

• การบูรณาการความปลอดภัยของ Microsoft: ใช้ประโยชน์จากระบบนิเวศความปลอดภัยของ Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) เพื่อเสริมการป้องกันการใช้งาน MCP

แหล่งข้อมูลครอบคลุม

เอกสารความปลอดภัย MCP อย่างเป็นทางการ

• MCP Specification (Current: 2025-11-25)
• MCP Security Best Practices
• MCP Authorization Specification
• MCP GitHub Repository

แหล่งข้อมูลความปลอดภัย OWASP MCP

• OWASP MCP Azure Security Guide - OWASP MCP Top 10 ครอบคลุมพร้อมแนวทางการใช้งานบน Azure
• OWASP MCP Top 10 - ความเสี่ยงด้านความปลอดภัยอย่างเป็นทางการของ OWASP MCP
• MCP Security Summit Workshop (Sherpa) - การอบรมเชิงปฏิบัติด้านความปลอดภัยสำหรับ MCP บน Azure

มาตรฐานความปลอดภัย & แนวทางปฏิบัติที่ดีที่สุด

• OAuth 2.0 Security Best Practices (RFC 9700)
• OWASP Top 10 Web Application Security
• OWASP Top 10 for Large Language Models
• Microsoft Digital Defense Report

งานวิจัย & วิเคราะห์ความปลอดภัย AI

• Prompt Injection in MCP (Simon Willison)
• Tool Poisoning Attacks (Invariant Labs)
• MCP Security Research Briefing (Wiz Security)

โซลูชันความปลอดภัยของ Microsoft

• Microsoft Prompt Shields Documentation
• Azure Content Safety Service
• Microsoft Entra ID Security
• Azure Token Management Best Practices
• GitHub Advanced Security

คู่มือ & บทเรียนการใช้งาน

• Azure API Management as MCP Authentication Gateway
• Microsoft Entra ID Authentication with MCP Servers
• Secure Token Storage and Encryption (Video)

DevOps & ความปลอดภัยซัพพลายเชน

• Azure DevOps Security
• Azure Repos Security
• Microsoft Supply Chain Security Journey

เอกสารความปลอดภัยเพิ่มเติม

สำหรับคำแนะนำความปลอดภัยอย่างครบถ้วน โปรดดูเอกสารเฉพาะทางในหมวดนี้:

• MCP Security Best Practices 2025 - แนวทางความปลอดภัยขั้นสูงสำหรับการใช้งาน MCP
• Azure Content Safety Implementation - ตัวอย่างการใช้งานจริงของ Azure Content Safety
• MCP Security Controls 2025 - การควบคุมความปลอดภัยและเทคนิคล่าสุดสำหรับการใช้งาน MCP
• MCP Best Practices Quick Reference - คู่มือฉบับย่อสำหรับแนวทางความปลอดภัย MCP ที่สำคัญ

อบรมเชิงปฏิบัติด้านความปลอดภัย

• MCP Security Summit Workshop (Sherpa) - เวิร์กช็อปเชิงปฏิบัติสำหรับการรักษาความปลอดภัยเซิร์ฟเวอร์ MCP บน Azure ตั้งแต่ Base Camp ถึง Summit
• OWASP MCP Azure Security Guide - สถาปัตยกรรมอ้างอิงและคำแนะนำการใช้งานสำหรับความเสี่ยง OWASP MCP Top 10 ทั้งหมด

---

ต่อไปคืออะไร

ถัดไป: บทที่ 3: เริ่มต้นใช้งาน

---

ข้อจำกัดความรับผิดชอบ:
เอกสารนี้ได้รับการแปลโดยใช้บริการแปลภาษาอัตโนมัติ Co-op Translator แม้เราจะพยายามให้มีความถูกต้อง โปรดทราบว่าการแปลอัตโนมัติอาจมีข้อผิดพลาดหรือความไม่แม่นยำ เอกสารต้นฉบับในภาษาต้นฉบับควรถูกพิจารณาเป็นแหล่งข้อมูลที่ถูกต้อง สำหรับข้อมูลที่สำคัญ ควรใช้บริการแปลโดยมนุษย์มืออาชีพ เราจะไม่รับผิดชอบต่อความเข้าใจผิดหรือการตีความที่คลาดเคลื่อนใด ๆ ที่เกิดจากการใช้การแปลนี้