AI 代理安全：深入探讨 MCP 授权

Source: Dev.to

向服务器端、请求时强制执行的转变

一个常见的误解是，仅仅保护与 MCP 服务器的初始连接就足够了。然而，MCP 授权依赖于 服务器端 在 请求时 的强制执行。

AI 代理每一次尝试读取数据、执行任务或调用外部 API，都必须通过授权网关。这一过程会动态评估：

• 基于令牌的授权 – 验证随负载一起传递的加密令牌（例如 JWT）。
• 受限能力访问 – 确保令牌仅允许特定操作（例如只读 vs. 写入）。
• 基于角色的访问控制 (RBAC) – 根据既定策略检查代理背后的身份是否被允许执行该任务。

实现网关模式

在构建 MCP 服务器时，您的中间件需要拦截工具执行请求，并在将请求转发到底层服务之前执行上述检查。

开发者影响与最佳实践

采用 MCP 意味着为 AI 采用 零信任 (Zero‑Trust) 架构。围绕以下核心原则构建系统：

• 强制最小权限 – 永远不要给代理全局访问权限。如果代理只需要读取工单，请不要授予它删除工单的 API 凭证。
• 使用短期受限令牌 – 令牌应快速过期，并严格限定在当前活跃会话或特定任务上下文中。
• 对每一次调用进行授权 – 切勿仅依赖会话状态。对每一次工具执行请求都进行权限验证。
• 严格审计 – 记录每一次被允许或被拒绝的请求及其身份上下文。如果 AI 代理产生幻觉并尝试执行破坏性操作，审计日志可以证明网关已阻止该行为。

结论

MCP 为 AI 代理解锁了巨大的潜力，但它也直接打开了通往我们的数据库和 API 的管道。构建稳健的 请求时授权层 不仅是最佳实践，更是生产环境的根本要求。