详细内容或原文请订阅后点击阅览
MCP引入了深层集成 - 严重的安全问题
MCP - 拟人化于2024年11月引入的模型上下文协议,是将AI助手连接到数据源和开发环境的开放标准。它是为未来而建造的,其中每个AI助手都直接连接到您的环境中,该模型知道您已经打开了哪些文件,选择了哪些文本,您刚刚键入的内容,[…]
来源:O'Reilly Media _AI & MLMCP - 拟人化于2024年11月引入的模型上下文协议,是将AI助手连接到数据源和开发环境的开放标准。它是为未来而建造的,其中每个AI助手都直接连接到您的环境中,该模型知道您已经打开了哪些文件,选择了哪些文本,刚刚键入的内容以及您正在从事的工作。
模型上下文协议这就是安全风险开始的地方。
AI是由上下文驱动的,这正是MCP提供的。它为像GitHub Copilot这样的AI助手提供了他们可能需要帮助的一切:打开文件,代码片段,甚至编辑器中选择的内容。当您使用启用MCP的工具将数据传输到远程服务器时,所有这些工具都会通过电线发送。对于大多数开发人员来说,这可能很好。但是,如果您在金融公司,医院或任何有监管限制的组织中工作,您需要非常谨慎地对网络感到非常谨慎,那么MCP使失去对很多事情的控制确实很容易。
假设您正在使用Healthcare应用程序中的Visual Studio代码工作,并且选择了几行代码来调试查询,这是您一天中的日常时刻。该片段可能包括连接字符串,带有实际患者信息的测试数据以及一部分模式。您要求Copilot帮助并批准连接到远程服务器的MCP工具,所有这些工具都会发送到外部服务器。这不仅是冒险的。根据HIPAA,SOX或PCI-DSS,这可能是违反合规性,具体取决于传播的内容。
这些都是开发人员每天意外发送的事情,而没有意识到:
- 内部URL和System Dissindifiers Passswords或Local Config FilesNetwork详细信息或VPN Information Local Test数据,其中包括真实的用户信息,SSN或其他敏感值