Liste de contrôle de sécurité MCP
Une liste de contrôle axée sur la production pour approuver les serveurs MCP avant que les agents puissent lire des données, appeler des outils, écrire des enregistrements, parcourir des systèmes ou déclencher des flux de travail.
MCP est suffisamment sûr pour la production uniquement lorsqu'il est régi comme une limite d'autorisations et d'exécution. Avant de connecter des agents aux serveurs MCP, vérifiez l'identité du serveur, la liaison d'audience OAuth, les étendues de moindre privilège, les règles d'approbation des outils, la surveillance des modifications de schéma, le sandboxing, la gestion des secrets, les journaux d'audit et la réponse aux incidents.
Utilisez HTTPS pour MCP distant. Validez les jetons du porteur à chaque demande. Appliquez la liaison d’audience OAuth et rejetez les jetons émis pour une autre ressource.
Divisez les actions de lecture, d’écriture, de suppression, d’exportation et d’administration. Évitez les portées larges telles que tous les fichiers, toutes les actions de base de données ou l'administration globale.
Exiger l’approbation humaine explicite pour les actions destructrices, externes, financières, privilégiées ou de partage de données. Afficher le serveur, l'outil, les arguments et la destination exacts.
Exécutez des serveurs locaux dans des conteneurs, des machines virtuelles ou des processus restreints. Limitez l’accès au système de fichiers, la sortie réseau, les variables d’environnement et l’accès aux services de métadonnées.
| Champ de journal | Pourquoi c'est important |
|---|---|
| Utilisateur, hôte, client, serveur | Indique qui a initié la trajectoire de l'outil et quelle surface l'a médiatisée. |
| Nom de l'outil et hachage du schéma | Détecte les tirages de tapis, les dérives de schéma et les fonctionnalités nouvellement exposées. |
| Hachage des arguments et classe de données | Préserve la possibilité de révision tout en réduisant l’exposition des journaux sensibles. |
| Acteur et politique d’approbation | Sépare les actions approuvées automatiquement, approuvées par l'utilisateur et approuvées par l'administrateur. |
| Classe de destination et de résultat | Signale les chaînes d'exfiltration telles que lire des données privées, les transformer, puis les envoyer à l'extérieur. |
Pouvons-nous révoquer ce serveur rapidement ? Pouvons-nous savoir quel utilisateur a approuvé une action sensible ? L’agent peut-il enchaîner deux outils apparemment inoffensifs pour aboutir à un résultat néfaste ? Un serveur peut-il modifier ses définitions d'outils après approbation ? Les données d’un système d’entreprise peuvent-elles être transférées clandestinement dans un autre sans qu’un humain ne s’en aperçoive ?
Si la réponse n'est pas claire, laissez le serveur en mode lecture seule ou brouillon uniquement. Production MCP doit obtenir un accès en écriture pour un flux de travail à la fois.
Oui. MCP peut exposer les données via des ressources, des résultats d'outils, des invites, des journaux ou des chaînes d'outils inter-serveurs. Traitez chaque serveur comme un chemin d'accès aux données et chaque appel d'outil comme une activité vérifiable.
Les actions en lecture seule peuvent être approuvées par la politique après examen. Les actions destructrices, externes, privilégiées, financières ou de partage de données doivent nécessiter une approbation explicite avec des arguments précis visibles.
Les racines aident à définir la portée prévue du système de fichiers, mais l'isolation doit être appliquée avec les autorisations du système d'exploitation, le sandboxing, la validation du chemin et les restrictions de conteneur ou de processus.
Dernière révision le 12 mai 2026. Utilisez ces sources principales pour vérifier le comportement du protocole, les revendications de la plateforme et la posture de sécurité avant l'achat.
