README.md

MCP Безпека: Всеохопний Захист для AI-Систем

(Натисніть на зображення вище, щоб переглянути відео цього уроку)

Безпека є фундаментальною для проєктування AI-систем, саме тому ми надаємо їй пріоритет другим розділом. Це відповідає принципу Microsoft Secure by Design з ініціативи Secure Future Initiative.

Протокол контексту моделі (MCP) надає потужні нові можливості для застосунків на базі AI, одночасно вводячи унікальні проблеми безпеки, які виходять за межі традиційних ризиків програмного забезпечення. Системи MCP стикаються як з відомими питаннями безпеки (безпечне кодування, мінімальні привілеї, безпека ланцюжка постачання), так і з новими AI-специфічними загрозами, у тому числі ін’єкцією підказок, отруєнням інструментів, викраденням сесій, атаками «заплутаного депутата», уразливостями при передачі токенів і динамічною модифікацією можливостей.

У цьому уроці розглядаються найкритичніші ризики безпеки в реалізаціях MCP — охоплюючи автентифікацію, авторизацію, надмірні дозволи, непряму ін’єкцію підказок, безпеку сесії, проблеми заплутаного депутата, управління токенами та уразливості ланцюжка постачання. Ви навчитеся застосовувати керовані контролі та найкращі практики для пом’якшення цих ризиків, використовуючи рішення Microsoft, такі як Prompt Shields, Azure Content Safety і GitHub Advanced Security, для зміцнення вашого розгортання MCP.

Навчальні Цілі

До кінця цього уроку ви зможете:

• Визначати MCP-специфічні загрози: Розпізнавати унікальні ризики безпеки в системах MCP, зокрема ін’єкцію підказок, отруєння інструментів, надмірні дозволи, викрадення сесії, проблеми заплутаного депутата, уразливості при передачі токенів та ризики ланцюжка постачання
• Застосовувати контролі безпеки: Впроваджувати ефективні пом'якшувальні заходи, зокрема надійну автентифікацію, мінімальний доступ, безпечне управління токенами, контролі безпеки сесій і верифікацію ланцюжка постачання
• Використовувати рішення Microsoft для безпеки: Розуміти та впроваджувати Microsoft Prompt Shields, Azure Content Safety та GitHub Advanced Security для захисту робочих навантажень MCP
• Перевіряти безпеку інструментів: Усвідомлювати важливість перевірки метаданих інструментів, моніторингу динамічних змін і захисту від непрямих атак ін’єкції підказок
• Інтегрувати найкращі практики: Поєднувати встановлені основи безпеки (безпечне кодування, зміцнення серверів, zero trust) з MCP-специфічними контролями для всебічного захисту

Архітектура Безпеки MCP та Контролі

Сучасні впровадження MCP потребують багаторівневих підходів до безпеки, які розглядають як традиційну безпеку програмного забезпечення, так і AI-специфічні загрози. Специфікація MCP швидко розвивається, удосконалюючи контролі безпеки для кращої інтеграції з корпоративними архітектурами безпеки та встановленими найкращими практиками.

Дослідження з Microsoft Digital Defense Report демонструє, що 98% заявлених порушень можна було б запобігти за допомогою надійної гігієни безпеки. Найефективніша стратегія захисту поєднує базові практики безпеки з MCP-специфічними контролями — перевірені базові заходи безпеки залишаються найвпливовішими для зниження загального ризику.

Поточний Ландшафт Безпеки

Примітка: Ця інформація відображає стандарти безпеки MCP станом на 5 лютого 2026 року, у відповідності зі специфікацією MCP 2025-11-25. Протокол MCP продовжує швидко розвиватися, і майбутні реалізації можуть впроваджувати нові патерни автентифікації та вдосконалені контролі. Завжди звертайтеся до поточної специфікації MCP, репозиторію MCP на GitHub та документації з найкращих практик безпеки для останніх рекомендацій.

🏔️ MCP Security Summit Workshop (Sherpa)

Для практичного навчання з безпеки ми радимо взяти участь у MCP Security Summit Workshop (Sherpa) — комплексній навчальній експедиції з забезпечення безпеки MCP-серверів у Microsoft Azure.

Огляд Майстер-класу

MCP Security Summit Workshop надає практичне, дієве навчання з безпеки за перевіреною методологією «вразливість → експлуатація → виправлення → валідація». Ви:

• Вивчатимете, руйнуючи речі: Получите досвід вразливостей через експлуатацію навмисно небезпечних серверів
• Використовуватимете безпеку Azure: Скористайтеся Azure Entra ID, Key Vault, API Management та AI Content Safety
• Дотримуватиметеся Defense-in-Depth: Проходитимете етапи побудови багаторівневої безпеки
• Застосовуватимете стандарти OWASP: Кожна техніка відповідає OWASP MCP Azure Security Guide
• Отримаєте робочий код: Завершите з функціональними, протестованими реалізаціями

Маршрут Експедиції

Табір	Фокус	Охоплені ризики OWASP
Базовий Табір	Основи MCP та вразливості автентифікації	MCP01, MCP07
Табір 1: Ідентичність	OAuth 2.1, Azure Managed Identity, Key Vault	MCP01, MCP02, MCP07
Табір 2: Шлюз	API Management, приватні кінцеві точки, управління	MCP02, MCP07, MCP09
Табір 3: Безпека I/O	Ін’єкція підказок, захист ПІІ, безпека контенту	MCP03, MCP05, MCP06
Табір 4: Моніторинг	Логи, дашборди, виявлення загроз	MCP08
Вершина	Інтеграційний тест Red Team / Blue Team	Всі

Почати: https://azure-samples.github.io/sherpa/

OWASP MCP Топ-10 Ризиків Безпеки

OWASP MCP Azure Security Guide деталізує десять найкритичніших ризиків безпеки для реалізацій MCP:

Ризик	Опис	Пом’якшення у Azure
MCP01	Неправильне управління токенами та витік секретів	Azure Key Vault, Managed Identity
MCP02	Ескалація привілеїв через розширення сфери доступу	RBAC, Conditional Access
MCP03	Отруєння інструментів	Верифікація інструментів, перевірка цілісності
MCP04	Атаки на ланцюжок постачання	GitHub Advanced Security, сканування залежностей
MCP05	Ін’єкція та виконання команд	Валідація вхідних даних, ізоляція середовища
MCP06	Ін’єкція підказок через контекстуалізовані навантаження	Azure AI Content Safety, Prompt Shields
MCP07	Недостатня автентифікація та авторизація	Azure Entra ID, OAuth 2.1 з PKCE
MCP08	Відсутність аудиту та телеметрії	Azure Monitor, Application Insights
MCP09	Тіні MCP-сервери	Управління API Центром, ізоляція мережі
MCP10	Ін’єкція контексту та надмірне розкриття	Класифікація даних, мінімальний доступ

Еволюція Автентифікації MCP

Специфікація MCP суттєво розвинулася в підходах до автентифікації та авторизації:

• Початковий підхід: Ранні специфікації вимагали від розробників створювати власні сервери автентифікації, MCP-сервери діяли як OAuth 2.0 Authorization Servers з управлінням безпосередньою автентифікацією користувачів
• Поточний стандарт (2025-11-25): Оновлена специфікація дозволяє MCP-серверам делегувати автентифікацію зовнішнім провайдерам ідентичності (наприклад, Microsoft Entra ID), покращуючи безпеку і спрощуючи реалізацію
• Безпека транспортного рівня: Покращена підтримка безпечних транспортних механізмів з правильними патернами автентифікації для локальних (STDIO) та віддалених (Streamable HTTP) з'єднань

Безпека Автентифікації та Авторизації

Поточні Виклики

Сучасні реалізації MCP стикаються з низкою проблем у сфері автентифікації та авторизації:

Ризики та Вектори Загроз

• Неправильно налаштована логіка авторизації: Помилки в реалізації авторизації в MCP-серверах можуть призвести до витоку чутливих даних та некоректного застосування контролів доступу
• Компрометація OAuth-токенів: Крадіжка токенів локального MCP-сервера дозволяє зловмисникам видавати себе за сервер і отримувати доступ до підпорядкованих служб
• Уразливості при передачі токенів: Неправильне поводження з токенами створює можливості обходу контролів безпеки та проблеми підзвітності
• Надмірні дозволи: MCP-сервери з надмірними правами порушують принцип мінімальних привілеїв і розширюють вектори атаки

Передача Токенів: Критичний Антипатерн

Передача токенів суворо заборонена в поточній специфікації авторизації MCP через серйозні наслідки для безпеки:

Обхід Контролів Безпеки

• MCP-сервери та підпорядковані API застосовують критично важливі контролі (обмеження частоти запитів, валідацію запитів, моніторинг трафіку), які залежать від коректної перевірки токенів
• Пряме використання токенів клієнтом для API обходить ці основні захисні заходи, підриваючи архітектуру безпеки

Виклики Підзвітності та Аудиту

• MCP-сервери не можуть відрізнити клієнтів, які використовують токени, видані вгорі, що порушує збереження аудиторських слідів
• Логи серверів ресурсів показують хибне походження запитів замість фактичних MCP-серверів-посередників
• Розслідування інцидентів і аудит відповідності стають значно складнішими

Ризики Експорту Даних

• Неконтрольовані заяви у токенах дають змогу зловмисникам із викраденими токенами використовувати MCP-сервери як проксі для виведення даних
• Порушення меж довіри дозволяє неавторизовані схеми доступу, що обходять заплановані контролі безпеки

Вектори Мультисервісних Атак

• Компрометовані токени, які приймають кілька служб, дозволяють рухатися латерально в мережі
• Припущення довіри між службами можуть бути порушені, якщо походження токенів неможливо підтвердити

Контролі Безпеки та Пом’якшення

Критичні вимоги до безпеки:

ОБОВ’ЯЗКОВО: MCP-сервери НЕ ПОВИННІ приймати будь-які токени, що не були явно видані для MCP-сервера

Контролі Автентифікації та Авторизації

• Ретельний аудит авторизації: Проведення всебічних перевірок логіки авторизації MCP-сервера для забезпечення доступу лише потрібним користувачам та клієнтам

  • Посібник з реалізації: Azure API Management як шлюз автентифікації для MCP-серверів
  • Інтеграція ідентичності: Використання Microsoft Entra ID для автентифікації MCP-сервера

• Безпечне управління токенами: Впровадження найкращих практик Microsoft щодо валідації та життєвого циклу токенів

  • Перевірка відповідності заяв аудиторії з ідентичністю MCP-сервера
  • Впровадження коректної ротації та політик терміну дії токенів
  • Запобігання повторному використанню токенів та несанкціонованому застосуванню

• Захищене зберігання токенів: Забезпечення безпеки токенів шифруванням у стані зберігання та при передачі

  • Найкращі практики: Керівництво зі збереження та шифрування токенів

Реалізація Контролю Доступу

• Принцип Мінімальних Привілеїв: Надання MCP-серверам лише мінімально необхідних дозволів для потрібної функціональності

  • Регулярні перевірки та оновлення дозволів для запобігання розширенню сфер доступу
  • Документація Microsoft: Безпечний мінімальний доступ

• Рольова Модель Контролю Доступу (RBAC): Впровадження детального призначення ролей

  • Обмеження ролей до конкретних ресурсів і дій
  • Уникнення широких або непотрібних дозволів, що розширюють вектори атаки

• Постійний Моніторинг Дозволів: Впровадження безперервного аудиту та моніторингу доступу

  • Відслідковування патернів використання дозволів для виявлення аномалій
  • Швидке усунення надмірних чи невикористовуваних дозволів

AI-Специфічні Загрози Безпеці

Атаки Ін’єкції Підказок та Маніпуляції Інструментами

Сучасні реалізації MCP стикаються з складними AI-специфічними векторами атак, які традиційні заходи безпеки не можуть повністю нейтралізувати:

Непряма Ін’єкція Підказок (Cross-Domain Prompt Injection)

Непряма ін’єкція підказок є однією з найкритичніших вразливостей у AI-системах на базі MCP. Зловмисники ховають шкідливі інструкції в зовнішньому контенті — документах, веб-сторінках, електронних листах або джерелах даних — які AI-системи потім обробляють як легітимні команди.

Сценарії атак:

• Ін’єкція в документи: Шкідливі інструкції, приховані в оброблюваних документах, що викликають небажані дії AI
• Зловживання веб-контентом: Веб-сторінки з вбудованими підказками, що маніпулюють поведінкою AI при скрапінгу
• Атаки через електронну пошту: Шкідливі підказки в листах, що змушують AI-помічників розголошувати інформацію або виконувати несанкціоновані дії
• Зараження джерел даних: Компрометація баз даних чи API, що постачають забруднений контент AI-системам

Реальні наслідки: ці атаки можуть призводити до викрадення даних, порушення конфіденційності, генерації шкідливого контенту та маніпуляції користувацькими взаємодіями. Детальний аналіз див. у Prompt Injection у MCP (Simon Willison).

Атаки Отруєння Інструментів

Отруєння інструментів спрямоване на метадані, що визначають інструменти MCP, використовуючи спосіб, у який LLM інтерпретують описи та параметри інструментів для прийняття рішень про виконання.

Механізми атак:

• Маніпуляція метаданими: Зловмисники впроваджують шкідливі інструкції в описи інструментів, визначення параметрів або приклади використання
• Невидимі інструкції: Приховані підказки в метаданих інструментів, які обробляються моделями, але непомітні для користувачів
• Динамічна зміна інструменту ("Rug Pulls"): Інструменти, схвалені користувачами, пізніше змінюються для виконання шкідливих дій без відома користувача
• Ін’єкція параметрів: Шкідливий контент, вбудований у схеми параметрів інструментів, що впливає на поведінку моделі

Ризики для хостованих серверів: Віддалені MCP-сервери мають підвищені ризики, оскільки визначення інструментів можна оновлювати після початкового затвердження користувачем, створюючи ситуації, де раніше безпечні інструменти стають шкідливими. Докладний аналіз див. у Tool Poisoning Attacks (Invariant Labs).

Інші AI-вектори атак

• Міждоменна ін’єкція підказок (XPIA): Складні атаки, що використовують контент із кількох доменів для обходу контролів безпеки
• Динамічна зміна можливостей: Зміни в реальному часі можливостей інструментів, які обходять початкові оцінки безпеки
• Отруєння контекстного вікна: Атаки, що маніпулюють великими контекстними вікнами для приховання шкідливих інструкцій
• Атаки на плутанину моделі: Використання обмежень моделі для створення непередбачуваних або небезпечних поведінок

Вплив ризиків безпеки ШІ

Наслідки високого рівня впливу:

• Витік даних: Несанкціонований доступ та крадіжка конфіденційних даних підприємств або персональних даних
• Порушення приватності: Витік персональних ідентифікаційних даних (PII) та конфіденційної бізнес-інформації
• Маніпуляції системами: Непередбачені зміни у критичних системах і робочих процесах
• Крадіжка облікових даних: Компрометація токенів автентифікації та сервісних облікових записів
• Латеральний рух: Використання скомпрометованих ШІ-систем як точок опори для більш широких мережевих атак

Рішення Microsoft для безпеки ШІ

AI Prompt Shields: Розширений захист від атак інжекції підказок

Microsoft AI Prompt Shields забезпечують комплексний захист як від прямих, так і опосередкованих атак інжекції підказок через багатошарові механізми безпеки:

Основні механізми захисту:

1. Розширене виявлення та фільтрація

   • Алгоритми машинного навчання та методи NLP виявляють шкідливі інструкції у зовнішньому контенті
   • Аналіз у реальному часі документів, веб-сторінок, електронних листів та джерел даних на наявність вбудованих загроз
   • Контекстне розуміння відмінностей між законними й шкідливими шаблонами підказок

2. Техніки підсвічування

   • Відрізняє довірчі системні інструкції від потенційно скомпрометованого зовнішнього вводу
   • Методи трансформації тексту, що підвищують релевантність моделі, із ізоляцією шкідливого вмісту
   • Допомагає ШІ правильно підтримувати ієрархію інструкцій, ігноруючи інжектовані команди

3. Системи обмежувачів та датамаркування

   • Явне визначення меж між довіреними системними повідомленнями та зовнішніми текстовими ввідними даними
   • Спеціальні маркери, які підкреслюють межі між довіреними та недовіреними джерелами даних
   • Чітке розділення запобігає плутанині інструкцій і несанкціонованому виконанню команд

4. Безперервна розвідка про загрози

   • Microsoft постійно відслідковує нові схеми атак і оновлює механізми захисту
   • Проактивний пошук нових технік інжекції та векторів атак
   • Регулярне оновлення моделей безпеки для підтримки ефективності проти нових загроз

5. Інтеграція Azure Content Safety

   • Частина комплексного набору Azure AI Content Safety
   • Додаткове виявлення спроб jailbreak, шкідливого контенту та порушень політик безпеки
   • Уніфіковане управління безпекою по всіх компонентах додатків ШІ

Ресурси для впровадження: Документація Microsoft Prompt Shields

Розширені загрози безпеці MCP

Уразливості перехоплення сесій

Перехоплення сесій — це критичний вектор атаки в станофул MCP-реалізаціях, коли несанкціоновані особи отримують і використовують легітимні ідентифікатори сесій для імітації клієнтів та виконання несанкціонованих дій.

Сценарії атак і ризики

• Інжекція підказок через перехоплені сесії: Зловмисники зі вкраденими ідентифікаторами сесій інжектують шкідливі події на сервери, що діляться станом сесії, потенційно запускаючи шкідливі дії або доступ до конфіденційних даних
• Пряма імітація: Викрадення ідентифікаторів сесій дає змогу безпосередньо звертатись до MCP-серверів, обходячи автентифікацію і вважаючись легітимними користувачами
• Скомпрометовані відновлювані стріми: Атакуючі можуть передчасно припиняти запити, що призводить до поновлення легітимних клієнтів з потенційно шкідливим вмістом

Механізми безпеки для управління сесіями

Критичні вимоги:

• Перевірка авторизації: MCP-сервери, що впроваджують авторизацію, ПОВИННІ перевіряти всі вхідні запити і НЕ ПОВИННІ покладатися на сесії для автентифікації
• Безпечна генерація сесій: Використовувати криптографічно безпечні, недетерміновані ідентифікатори сесій, створені за допомогою генераторів випадкових чисел
• Прив’язка до користувача: Прив’язувати ідентифікатори сесій до інформації конкретного користувача у форматах, таких як <user_id>:<session_id>, щоб уникнути зловживання між користувачами
• Управління життєвим циклом сесій: Реалізувати правильне завершення, ротацію та анулювання сесій, щоб обмежити часові вікна вразливості
• Захист транспортного рівня: Обов’язкове використання HTTPS для всіх комунікацій, щоб запобігти перехопленню ідентифікаторів сесій

Проблема заплутаного посередника

Проблема заплутаного посередника виникає, коли MCP-сервери виступають автентифікаційними проксі між клієнтами та сторонніми сервісами, створюючи можливості обходу авторизації через експлуатацію статичних ID клієнтів.

Механіка атак і ризики

• Обхід згоди на основі cookie: Попередня автентифікація користувача створює cookie згоди, які зловмисники експлуатують через шкідливі запити авторизації з підробленими URI редиректів
• Крадіжка коду авторизації: Існуючі cookie згоди можуть призводити до пропуску екранів згоди сервером авторизації, відправляючи коди на контрольовані зловмисником кінцеві точки
• Несанкціонований доступ до API: Викрадені коди авторизації дозволяють обміняти їх на токени та імітувати користувачів без явного схвалення

Стратегії пом’якшення

Обов’язкові контролі:

• Явні вимоги до згоди: MCP-проксі, що використовують статичні ID клієнтів, ПОВИННІ отримувати згоду користувача для кожного динамічно зареєстрованого клієнта
• Імплементація безпеки OAuth 2.1: Дотримуватись найкращих практик безпеки OAuth, включно з PKCE (Proof Key for Code Exchange) для всіх запитів авторизації
• Жорстка валідація клієнтів: Реалізовувати сувору перевірку URI редиректів та ідентифікаторів клієнтів для запобігання експлуатації

Уразливості передачі токенів

Передача токенів без перевірки — це явний анти-патерн, коли MCP-сервери приймають клієнтські токени без належної валідації і передають їх вниз по ланцюжку API, порушуючи специфікації авторизації MCP.

Наслідки для безпеки

• Обхід контролю: Пряме використання токенів клієнтів для API обходить важливі обмеження швидкості, валідацію та моніторингові контролі
• Пошкодження аудиту: Токени, видані вище по ланцюгу, унеможливлюють ідентифікацію клієнтів, ускладнюючи розслідування інцидентів
• Витік даних через проксі: Неочищені токени дозволяють зловмисникам використовувати сервери як проксі для несанкціонованого доступу до даних
• Порушення меж довіри: Припущення довіри вниз по ланцюгу можуть порушуватись, коли походження токенів перевірити неможливо
• Розширення атак між сервісами: Прийом скомпрометованих токенів у різних сервісах дозволяє латеральний рух

Обов’язкові заходи безпеки

Безліч компромісів неможливі:

• Перевірка токенів: MCP-сервери НЕ ПОВИННІ приймати токени, які не видані явно для MCP-сервера
• Верифікація аудиторії: Завжди перевіряти, що претензії токена щодо аудиторії відповідають ідентичності MCP-сервера
• Належний життєвий цикл токенів: Використовувати короткоживучі токени доступу з практиками безпечної ротації

Безпека ланцюжка постачання для систем ШІ

Безпека ланцюжка постачання розширилась за межі традиційних залежностей програмного забезпечення і охоплює всю екосистему ШІ. Сучасні реалізації MCP повинні ретельно перевіряти і контролювати всі компоненти, пов’язані з ШІ, оскільки кожен може містити уразливості, здатні скомпрометувати цілісність системи.

Розширені компоненти ланцюжка постачання ШІ

Традиційні програмні залежності:

• Бібліотеки та фреймворки з відкритим кодом
• Контейнерні образи та базові системи
• Засоби розробки та конвеєри збірки
• Компоненти інфраструктури та сервіси

Специфічні елементи ланцюжка постачання ШІ:

• Фундаментальні моделі: Завчені моделі від різних постачальників з перевіркою походження
• Сервіси ембедінгів: Зовнішні сервіси векторизації та семантичного пошуку
• Провайдери контексту: Джерела даних, бази знань та сховища документів
• Сторонні API: Зовнішні AI-сервіси, ML-конвеєри, кінцеві точки обробки даних
• Артефакти моделей: Ваги, конфігурації та тонко налаштовані варіанти моделей
• Джерела навчальних даних: Набори даних для тренування та тонкого налаштування моделей

Комплексна стратегія безпеки ланцюжка постачання

Перевірка компонентів та довіра

• Валідація походження: Перевіряти джерело, ліцензії та цілісність усіх компонентів AI перед інтеграцією
• Оцінка безпеки: Проводити сканування на уразливості та аудити безпеки моделей, джерел даних та AI-служб
• Аналіз репутації: Оцінювати репутацію та практики безпеки постачальників AI-сервісів
• Перевірка відповідності: Забезпечити відповідність компонентів організаційним вимогам безпеки та регулювання

Безпечні конвеєри розгортання

• Автоматизоване CI/CD безпеки: Інтегрувати сканери безпеки у всі етапи автоматизованого розгортання
• Цілісність артефактів: Використовувати криптографічну перевірку усіх розгорнутих артефактів (код, моделі, конфігурації)
• Поетапне розгортання: Застосовувати стратегії поступового розгортання із перевіркою безпеки на кожному етапі
• Довірчі реєстри артефактів: Розгортати лише з перевірених, безпечних сховищ і реєстрів

Безперервний моніторинг і реагування

• Сканування залежностей: Постійний моніторинг уразливостей для всіх залежностей ПЗ та компонентів AI
• Моніторинг моделей: Безперервна оцінка поведінки моделей, відхилень продуктивності та аномалій безпеки
• Відстеження здоров’я сервісів: Моніторинг зовнішніх AI-сервісів на доступність, інциденти безпеки та зміни політик
• Інтеграція розвідки про загрози: Включення фідерів загроз, специфічних для безпеки AI та ML

Контроль доступу та найменші привілеї

• Дозволи на рівні компонентів: Обмеження доступу до моделей, даних і сервісів відповідно до бізнес-потреб
• Управління сервісними акаунтами: Впровадження окремих сервісних акаунтів із мінімальними необхідними правами
• Сегментація мережі: Ізоляція AI-компонентів і обмеження мережевого доступу між сервісами
• Контроль через API-шлюзи: Використання централізованих API-шлюзів для контролю та моніторингу доступу до зовнішніх AI-сервісів

Реагування на інциденти та відновлення

• Швидке реагування: Налагоджені процедури оперативного патчінгу або заміни скомпрометованих AI-компонентів
• Ротація облікових даних: Автоматизовані системи для регулярної зміни секретів, ключів API і сервісних облікових даних
• Можливості відкату: Швидке повернення до попередніх стабільних версій AI-компонентів
• Відновлення після зловживань у ланцюжку постачання: Специфічні процедури реагування на компрометації зовнішніх AI-сервісів

Інструменти безпеки Microsoft і інтеграція

GitHub Advanced Security забезпечує комплексний захист ланцюжка постачання, включаючи:

• Сканування секретів: Автоматичне виявлення облікових даних, ключів API та токенів у репозиторіях
• Сканування залежностей: Оцінка уразливостей залежностей з відкритим кодом та бібліотек
• Аналіз CodeQL: Статичний аналіз коду для виявлення уразливостей безпеки та помилок кодування
• Інсайти ланцюжка постачання: Видимість здоров’я та безпеки залежностей

Інтеграція із Azure DevOps та Azure Repos:

• Бездоганна інтеграція сканування безпеки у платформи розробки Microsoft
• Автоматизовані перевірки безпеки в Azure Pipelines для AI-навантажень
• Застосування політик для безпечного розгортання AI-компонентів

Внутрішні практики Microsoft:
Microsoft застосовує розширені практики безпеки ланцюжка постачання у всіх продуктах. Детальніше про перевірені підходи читайте тут: The Journey to Secure the Software Supply Chain at Microsoft.

Кращі практики базової безпеки

Реалізації MCP успадковують і розвивають існуючу у вашій організації безпекову базу. Посилення фундаментальних практик безпеки суттєво підвищує загальний рівень безпеки систем ШІ та розгортань MCP.

Основи безпеки

Практики безпечної розробки

• Відповідність OWASP: Захист від OWASP Top 10 вразливостей веб-додатків
• Специфічний захист ШІ: Реалізація контролів для OWASP Top 10 для LLMs
• Безпечне управління секретами: Використання спеціалізованих сховищ для токенів, ключів API та конфіденційних налаштувань
• Кінцеве шифрування: Забезпечення безпечної комунікації у всіх компонентах додатків і потоках даних
• Валідація вводу: Ретельна перевірка всіх ввідних даних користувачів, параметрів API та джерел даних

Зміцнення інфраструктури

• Багатофакторна автентифікація: Обов’язкова MFA для всіх адміністративних та сервісних облікових записів
• Управління патчами: Автоматичне і своєчасне оновлення операційних систем, фреймворків та залежностей
• Інтеграція провайдерів ідентичності: Централізоване управління ідентичностями через корпоративних провайдерів (Microsoft Entra ID, Active Directory)
• Мережна сегментація: Логічна ізоляція компонентів MCP для обмеження потенціалу латерального руху
• Принцип найменших привілеїв: Мінімальний необхідний рівень доступу для всіх системних компонентів і акаунтів

Моніторинг безпеки та виявлення

• Комплексне логування: Детальний запис активностей AI-додатків, включно з взаємодією клієнт-сервер MCP
• Інтеграція SIEM: Централізовані системи управління інформацією безпеки та подіями для виявлення аномалій
• Аналітика поведінки: AI-заснований моніторинг для виявлення нетипових патернів у поведінці систем і користувачів
• Інтелект про загрози: Інтеграція зовнішніх фідів загроз та індикаторів компрометації (IOC)
• Реагування на інциденти: Чітко визначені процедури виявлення, реагування та відновлення після інцидентів безпеки

Архітектура нульової довіри

• Ніколи не довіряй, завжди перевіряй: Безперервна перевірка користувачів, пристроїв і мережевих з’єднань
• Мікросегментація: Детальні мережеві контролі для ізоляції окремих навантажень і сервісів
• Безпека на основі ідентичності: Політики безпеки, засновані на перевірених ідентичностях, а не на мережевому розташуванні
• Безперервна оцінка ризиків: Динамічна оцінка безпекового стану на основі актуального контексту та поведінки
• Умовний доступ: Контроль доступу з адаптацією до ризикових факторів, місцезнаходження та довіри пристрою

Патерни інтеграції в підприємствах

Інтеграція екосистеми Microsoft Security

• Microsoft Defender for Cloud: Комплексне управління безпекою хмарних ресурсів
• Azure Sentinel: Натівний хмарний SIEM і SOAR для захисту AI-навантажень
• Microsoft Entra ID: Корпоративне управління ідентичностями і доступом з політиками умовного доступу
• Azure Key Vault: Централізоване управління секретами з підтримкою апаратних модулів безпеки (HSM)
• Microsoft Purview: Управління даними та відповідність вимогам для джерел даних і робочих процесів AI

Відповідність і управління

• Відповідність регуляторним вимогам: Забезпечення відповідності реалізацій MCP галузевим нормативам (GDPR, HIPAA, SOC 2)
• Класифікація даних: Коректна категоризація та обробка конфіденційних даних, що використовуються системами AI
• Аудиторські журнали: Комплексне логування для відповідності регуляторним вимогам і судово-технічних розслідувань
• Контролі приватності: Впровадження принципів приватності за дизайном в архітектуру AI-систем
• Управління змінами: Формалізовані процеси оцінки безпеки змін у AI-системах

Ці фундаментальні практики створюють надійну базу безпеки, що підвищує ефективність специфічних контролів безпеки MCP і забезпечує всебічний захист AI-додатків.

Основні висновки з безпеки

• Багаторівневий підхід до безпеки: поєднуйте базові практики безпеки (безпечне кодування, мінімальні права доступу, перевірка ланцюга постачання, безперервний моніторинг) з контролями, специфічними для AI, для комплексного захисту

• Специфічні загрози для AI: системи MCP стикаються з унікальними ризиками, включно з впровадженням підказок, отруєнням інструментів, викраденням сесій, проблемами плутанини довірених осіб, вразливостями пропуску токенів і надмірними правами, що вимагає спеціалізованих заходів

• Відмінна автентифікація та авторизація: впроваджуйте надійну автентифікацію, використовуючи зовнішніх постачальників ідентичності (Microsoft Entra ID), забезпечуйте правильну валідацію токенів і ніколи не приймайте токени, не випущені явно для вашого MCP сервера

• Запобігання атакам на AI: використовуйте Microsoft Prompt Shields і Azure Content Safety для захисту від косвенного впровадження підказок і атак отруєння інструментів, водночас перевіряйте метадані інструментів і контролюйте динамічні зміни

• Безпека сесій та передачі даних: використовуйте криптографічно безпечні, недетерміновані ідентифікатори сесій, пов’язані з ідентичностями користувачів, впроваджуйте правильне управління життєвим циклом сесій і ніколи не використовуйте сесії для автентифікації

• Кращі практики безпеки OAuth: запобігайте атакам плутанини довірених осіб через явну згоду користувача для динамічно зареєстрованих клієнтів, дотримуйтеся правильного впровадження OAuth 2.1 з PKCE та суворої валідації URI переадресації

• Принципи безпеки токенів: уникайте протиобразів пропуску токенів, перевіряйте заяви про аудиторію токена, впроваджуйте короткоживучі токени з безпечною ротацією та підтримуйте чіткі межі довіри

• Комплексна безпека ланцюга постачання: ставтеся до всіх компонентів екосистеми AI (моделей, вставок, провайдерів контексту, зовнішніх API) з такою ж суворістю безпеки, як і до традиційних залежностей програмного забезпечення

• Безперервний розвиток: слідкуйте за швидкою еволюцією специфікацій MCP, долучайтеся до стандартів безпеки спільноти та підтримуйте адаптивні безпекові позиції в міру розвитку протоколу

• Інтеграція з безпекою Microsoft: використовуйте комплексну екосистему безпеки Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) для посиленого захисту впроваджень MCP

Комплексні ресурси

Офіційна документація з безпеки MCP

• Специфікація MCP (поточна: 2025-11-25)
• Кращі практики безпеки MCP
• Специфікація авторизації MCP
• Репозиторій MCP на GitHub

Ресурси OWASP MCP з безпеки

• Посібник OWASP MCP Azure Security Guide - Комплексний OWASP MCP Топ 10 з рекомендаціями по впровадженню в Azure
• OWASP MCP Top 10 - Офіційні ризики безпеки MCP від OWASP
• Майстерня MCP Security Summit (Sherpa) - Практичне навчання безпеці MCP в Azure

Стандарти та кращі практики з безпеки

• Кращі практики безпеки OAuth 2.0 (RFC 9700)
• OWASP Top 10 для веб-застосунків
• OWASP Top 10 для великих мовних моделей
• Звіт Microsoft Digital Defense Report

Дослідження та аналіз безпеки AI

• Впровадження підказок у MCP (Simon Willison)
• Атаки отруєння інструментів (Invariant Labs)
• Огляд досліджень безпеки MCP (Wiz Security)

Рішення Microsoft щодо безпеки

• Документація Microsoft Prompt Shields
• Сервіс Azure Content Safety
• Безпека Microsoft Entra ID
• Кращі практики менеджменту токенів Azure
• GitHub Advanced Security

Посібники з впровадження та навчальні матеріали

• Azure API Management як шлюз автентифікації MCP
• Аутентифікація Microsoft Entra ID з MCP серверами
• Безпечне зберігання токенів та шифрування (Відео)

DevOps та безпека ланцюга постачання

• Azure DevOps Security
• Azure Repos Security
• Подорож до безпеки ланцюга постачання Microsoft

Додаткова документація з безпеки

Для комплексних рекомендацій з безпеки звертайтесь до наступних спеціалізованих документів у цьому розділі:

• Кращі практики безпеки MCP 2025 - Повний огляд кращих практик безпеки для впроваджень MCP
• Впровадження Azure Content Safety - Практичні приклади інтеграції Azure Content Safety
• Контролі безпеки MCP 2025 - Останні контролі та техніки безпеки для розгортань MCP
• Швидкий довідник кращих практик MCP - Швидкий довідник основних практик безпеки MCP

Практичне навчання з безпеки

• Майстерня MCP Security Summit (Sherpa) - Комплексна практична майстерня для захисту MCP серверів в Azure з прогресивними рівнями від Base Camp до Summit
• Посібник OWASP MCP Azure Security Guide - Еталонна архітектура та рекомендації для впровадження усіх ризиків OWASP MCP Top 10

---

Що далі

Далі: Розділ 3: Початок роботи

---

Застереження:
Цей документ був перекладений за допомогою сервісу штучного інтелекту Co-op Translator. Хоча ми прагнемо до точності, будь ласка, майте на увазі, що автоматичні переклади можуть містити помилки або неточності. Оригінальний документ рідною мовою слід вважати авторитетним джерелом. Для важливої інформації рекомендується звертатися до професійного людського перекладу. Ми не несемо відповідальності за будь-які непорозуміння чи неправильні тлумачення, що виникли внаслідок використання цього перекладу.