MCP Security Layer
Biztonsági réteg az AI-ügynök és a tool-jai között · minden tool-hívást intent-szinten ellenőriz, blokkol, naplóz.
Mielőtt az AI-ügynök meghív egy tool-t (pl. send_email, execute_sql, transfer_funds), az MCP Security közbelép. Egy másodlagos AI-modell kielemzi a hívás szándékát, összeveti a policy-val, engedélyezi vagy blokkolja · és mindent naplóz auditra. Drop-in az MCP-kompatibilis agent-rendszerek előtt.
MeghallgatomEgy AI-ügynök igazi pénzt akar utalni. AI-ügynököknek szándék-ellenőrzőt építettünk MCP-vel. Mielőtt az ügynök pénzt utalna, a rendszer megnézi, mit akar. Mintha egy kolléga kérdezné: „biztos vagy benne?”.
Az MCP Security bármilyen MCP-kompatibilis ügynök-stack előtt ül, és minden tool-hívást szándékszinten validál: egy másodlagos osztályozó modell elolvassa a hívás célját, összeveti egy YAML-policy-val, engedélyezi / blokkolja, és audit céljából loggolja a döntést. A stúdió szállította az intent-osztályozót, a policy-motort és a riasztás + audit-log réteget.
Az AI-jaink már éles rendszereket hívtak, és nem tudtuk megmagyarázni az ellenőrnek, hogyan. A csapat beiktatott egy réteget, ami minden lépést átnéz, mielőtt megtörténne, mintha egy kolléga megkérdezné: „biztos vagy benne?”, mielőtt megnyomod a gombot. A napló és a szabályfájl első körben átment a hatósági ellenőrzésen.
Mi van a képernyőn
Frame breakdown
- 01Felhasználói felület
Az egész élmény amit a felhasználó lát
Ez a frame az élesben futó terméket mutatja: biztonsági réteg az ai-ügynök és a tool-jai között · minden tool-hívást intent-szinten ellenőriz, blokkol, naplóz. Minden komponens mi vagyunk · scope, design, kód, deploy.
- 02Stack a háttérben
Mi hajtja: Python, FastAPI, OpenAI
A frame mögötti technológia 5 elemű · Python, FastAPI, OpenAI a látható felületet hajtja, a többi az adatrétegben fut. Minden a stúdió kezében.
- 03Mit szállítottunk
Intent-analyzer · egy külön modell dönt a tool-hívás szándékáról
Egy réteg, ami minden tool-t véd · nem kell per-tool auth-logika
- 04Státusz
Magán-deploy · NDA alatt.
Az ügyfél kérésére nem publikus a URL · a build, az architektúra és a tanulságok megoszthatóak hívás keretében.
Hogyan szállítottuk
Idővonal- 01 · BRIEF
Mit jelent „safe” egy toolokat hívó ügynöknek?
Workshop az ügyfél security + AI csapatával a fenyegetésmodellre: prompt injection, lateral kompromittálás toolok között, exfiltráció legitim hívásokon át. A YAML-policy-DSL ebből a beszélgetésből esett ki.
- 02 · ARCHITECTURE
Stack-döntések minden kód előtt.
A döntési dokumentum lefogta az adatfolyamot, a Python, FastAPI, OpenAI, Anthropic szerep-felosztást, és a v1-ben kezelt vs halasztott hibamódokat. A szolgáltatás-határokat (hol végződik az AI és hol kezdődik a webapp) itt húztuk meg, így a két oldal nem szivárgott egymásba később.
- 02 · BUILD
Intent-osztályozó + policy-motor + audit-log.
FastAPI middleware ül az MCP-szerver előtt, meghívja a másodlagos modellt az intent klasszifikálására, kiértékeli a YAML-policy-t, allow / deny / quarantine-t ad vissza. Minden döntés indoklással loggolva · auditra visszajátszható.
- 04 · POLISH
Teljesítmény, akadálymentesség, megfigyelhetőség.
PSI / a11y / coverage budgetek launch-feltételként kikényszerítve. Logging + metrika bekötve még a cut-over előtt · a csapat egy dashboardról válaszol arra, hogy „működik-e?”, nem Slack-szálból. A fenyegetésmodell-checklist aláírva, mielőtt forgalom érkezne a gépre.
- 03 · SHIP
Élesben az ügyfél ügynök-stackjein · riasztás bekötve.
Az 1 órán belüli drop-in stackenként · Slack + PagerDuty riasztás gyanús mintákra, heti digest a security-leadnek emailben.
Amit szállítottunk
04- 01Szándék
Másodlagos osztályozó modell
Klasszifikálja, mit próbál a hívás csinálni · a policy-motor sose lát nyers promptot, csak a kikövetkeztetett szándékot.
- 02Policy
YAML allow / deny / quarantine
Verziózott, code-reviewolható policy-fájl · a változás ugyanazon a PR-review-n megy át, mint az alkalmazás kódja.
- 03Audit
Visszajátszható döntés-log
Minden hívás + döntés + indoklás eltárolva · az auditor bármely ügynök-futást end-to-end visszajátszhat.
- 04Riasztás
Slack + PagerDuty + heti digest
Valós idejű riasztás gyanús mintára plusz heti trend-digest · a security-lead heti egy emailt olvas.
A videóból
Képkockánként
01KépkockaAuditor scoreboard · 4 forgatókönyv kitárva
Felül a számlálók (events / tool calls / findings / blocked) + négy egymás melletti forgatókönyv mutatja az értéket: „attack succeeds (policy=audit)” mellett „attack blocked (policy=enforce)”. Ugyanaz a prompt, más policy, más kimenet.
02KépkockaFelállítás · a kérés, ami beindítja a támadást
Ártatlan-kinézetű „fetch és összefoglalás” kérés érkezik a beszélgetés pane-ba · az audit-stream mutatja a modellt + backendet (openrouter / openai gpt-4o-mini), ami kezelni készül. A veszélyes follow-up hívás a tartalomban van elrejtve.
03KépkockaTámadás láthatóvá tett · prompt-injection az SSH-kulcsot kéri
Jobb oldali pane mutatja a wiki-oldalba ágyazott rosszindulatú „MCP AGENT DIRECTIVE”-et, ami `cat ~/.ssh/id_rsa`-t kéne futtatnia. A bal audit-stream `BLOCKED execute_command`-ot loggol · az auditor hidegen megállítja a veszélyes hívást.
04KépkockaBiztonságos válasz · az ügynök eszkalál, nem végrehajt
Az ügynök zárószava udvariasan elutasít: „Nem tudom elérni a belső wiki admin tartalmát hitelesítési korlátozások miatt.” A tool argumentumok + eredmények a proxy secret-detection mintáival redaktálva mennek a vonalra.
MI VOLT A PROBLÉMA
- −Az AI-ügynök tool-hívás = végrehajt mindent, amit a prompt mond · prompt-injection esetén drága
- −Az egyedi auth-wrapper-t minden tool-ra külön írnod kellene · fejlesztői napok
- −Nincs központi log arról, mit próbált meg az AI · audit nem reprodukálható
- −Ha egy tool-t kompromittál a támadó, a többi is veszélyben · nincs lateral defense
MIT KAPOTT AZ ÜGYFÉL
- Egy réteg, ami minden tool-t véd · nem kell per-tool auth-logika
- Audit-trail kész · MNB / NAIH / EU AI Act jelentésre használható
- Prompt injection esetén is biztonságos · az intent-layer leállítja a malicious hívást
- Drop-in · 1 óra alatt beilleszthető meglévő MCP-stackbe
AMIT SZÁLLÍTOTTUNK
- +Intent-analyzer · egy külön modell dönt a tool-hívás szándékáról
- +Policy engine · YAML-szabályok szerinti engedélyezés/blokkolás
- +Teljes audit-log · minden hívás, döntés, indoklás megmarad
- +Valós idejű riasztás · Slack, PagerDuty, email gyanús mintára
- +Drop-in MCP-kompatibilis · OpenAI Assistants API, Anthropic, LangChain támogatva
TECHNOLÓGIA
- Python
- FastAPI
- OpenAI
- Anthropic
- LangChain
KAPCSOLÓDÓ OLVASMÁNY
- AI fejlesztés · Weboldal · webshop · webapp · Kiberbiztonság · NIS2 + GDPR · Egyedi szoftverfejlesztésQ3 2026 roundup · ami megváltozott és amit szállítottunkHárom hónap. SZÉP 2.0 él, NAV v3 átállás, AI Act enforcement, OWASP LLM Top 10 v2. Kemény számok, egy erős vélemény a tanácsadói rétegről.
- AI fejlesztés · Weboldal · webshop · webapp · Egyedi szoftverfejlesztésQ2 2026 roundup · ami megváltozott és amit szállítottunkNégy hónap eredmény, opinion-evidence keverék. Mit szállítottunk, mit szállított a piac, mi tört el, és mit figyelünk Q3-ra.
- AI fejlesztés · Weboldal · webshop · webappDField hírek · 2026 június · negyedév vége, jelek a gyepenJúniusi havi digest · ami a Q2 végére kemény tanulság lett, és ami július-augusztusban a képre kerül.
- Egyedi szoftverfejlesztés · AI fejlesztésn8n vs Make vs egyedi kód: automatizálási stack 2026-banA no-code automatizálás zseniális - egészen addig, amíg nem az. Itt a határ, ahol az n8n / Make megáll pénzt spórolni, és az egyedi kód átveszi - és hogyan ismerd fel, melyik oldalon állsz.