前言

在 AI 工程快速演進的當下，Model Context Protocol (MCP) 被廣泛應用於 LLM 與工具的互動。但由於 MCP server 本質上是一個「自然語言驅動的服務代理層」，若沒有安全設計，就可能成為攻擊者眼中的「萬能骷髏鑰匙」。Ken Huang 在其文章《Securing the MCP Server》中提出一份深度又實用的安全檢查指南，本文將其重點整理，作為 DevOps、AI 工程師與資安架構師的行動清單。

一、威脅模型：MCP Server 可能出什麼問題？

• 資產 (Assets)：MCP server 程式、工具描述檔 (JSON schemas)、Secrets Vault、LLM client channel、下游 API、日誌管線。
• 攻擊案例 (Sample Abuse Cases)：
  • OAuth Token 竊取（SSRF 攻擊）。
  • 跨租戶混淆代理 (Confused Deputy)。
  • Prompt Injection → RCE。
  • 依賴套件供應鏈攻擊。
  • 日誌注入造成敏感資料外洩。
  • Denial-of-Wallet。
  • 容器逃逸。

二、MCP 架構分區

• Zone 0 – 控制平面 (Vault、OPA、Observability)。
• Zone 1 – MCP Server Fleet (Stateless, mTLS mesh)。
• Zone 2 – Tool Runtime (Firecracker/gVisor, IAM TTL)。
• Zone 3 – 下游 API (Scoped tokens, ACL control)。

三、安全強化檢查清單

• 傳輸安全：TLS 1.3, AES-256-GCM, JWE。
• 身份驗證：OAuth2.1 + OIDC + MFA、人員 / 服務 mTLS。
• 授權控制：OPA / Cedar，Default-deny。
• 輸入驗證：嚴格 JSON Schema。
• 輸出清理：過濾敏感資訊。
• Secrets 管理：Vault 動態憑證。
• 沙箱化：Firecracker/gVisor。
• 資源控制：Rate limiting & Quotas。
• 可觀測性：OpenTelemetry, SIEM。

四、進階防護

• Human-in-the-loop。
• Just-in-time Access。
• Confidential Compute。

五、常見陷阱

• 掛載 Docker.sock。
• 傳回 Raw Error。
• 忘記回收 Vault 租約。

六、未來防護

• Post-Quantum TLS。
• Threat Modeling (CSA MAESTRO)。
• AI Red Teaming。
• 形式化驗證。

七、結論

MCP server 是 AI 工具鏈的高風險環節，必須以零信任思維設計。透過強身份、嚴授權、沙箱隔離與持續監控，才能讓 AI 工具鏈既創新又安全。