(برای دیدن ویدئوی این درس روی تصویر بالا کلیک کنید)

امنیت اساس طراحی سیستم هوش مصنوعی است، به همین دلیل اولویت دوم ما در این بخش است. این موضوع با اصل امنیت در طراحی مایکروسافت از ابتکار آینده امن همسو است.

پروتکل مدل کانتکست (MCP) قابلیت‌های قدرتمندی را به برنامه‌های مبتنی بر هوش مصنوعی می‌آورد در حالی که چالش‌های امنیتی منحصربه‌فردی را معرفی می‌کند که فراتر از ریسک‌های سنتی نرم‌افزار هستند. سیستم‌های MCP با مشکلات امنیتی شناخته‌شده (کدنویسی امن، حداقل امتیازات، امنیت زنجیره تأمین) و تهدیدهای خاص هوش مصنوعی شامل تزریق پرامپت، مسمومیت ابزار، ربایش جلسه، حملات مأمور سردرگم، آسیب‌پذیری‌های عبور توکن، و تغییر قابلیت‌های پویا مواجه‌اند.

این درس به مهم‌ترین ریسک‌های امنیتی در پیاده‌سازی‌های MCP می‌پردازد — شامل احراز هویت، مجوزدهی، دسترسی بیش از حد، تزریق پرامپت غیرمستقیم، امنیت جلسه، مشکلات مأمور سردرگم، مدیریت توکن، و آسیب‌پذیری‌های زنجیره تأمین. شما کنترل‌ها و بهترین روش‌های عملی برای کاهش این ریسک‌ها را خواهید آموخت و از راهکارهای مایکروسافت مانند سپرهای پرامپت، ایمنی محتوای آزور، و امنیت پیشرفته گیت‌هاب برای تقویت استقرار MCP خود بهره خواهید برد.

اهداف یادگیری

در پایان این درس، قادر خواهید بود:

• شناسایی تهدیدات خاص MCP: ریسک‌های امنیتی منحصر به MCP شامل تزریق پرامپت، مسمومیت ابزار، دسترسی بیش از حد، ربایش جلسه، مشکلات مأمور سردرگم، آسیب‌پذیری‌های عبور توکن و ریسک‌های زنجیره تأمین را تشخیص دهید
• اجرای کنترل‌های امنیتی: کاهش‌های مؤثر شامل احراز هویت قوی، دسترسی حداقل امتیاز، مدیریت ایمن توکن، کنترل‌های امنیت جلسه و تایید زنجیره تأمین را اجرا کنید
• استفاده از راهکارهای امنیتی مایکروسافت: سپرهای پرامپت مایکروسافت، ایمنی محتوای آزور، و امنیت پیشرفته گیت‌هاب را برای حفاظت از بار کاری MCP درک و استقرار دهید
• تأیید امنیت ابزار: اهمیت اعتبارسنجی متادیتای ابزار، پایش تغییرات پویا، و دفاع در برابر حملات تزریق پرامپت غیرمستقیم را بشناسید
• ادغام بهترین روش‌ها: اصول امنیتی تثبیت‌شده (کدنویسی امن، سخت‌افزاری سرور، اعتماد صفر) را با کنترل‌های ویژه MCP برای حفاظت جامع ترکیب کنید

معماری و کنترل‌های امنیت MCP

پیاده‌سازی‌های مدرن MCP به رویکردهای امنیتی چندلایه نیاز دارند که هر دو امنیت نرم‌افزار سنتی و تهدیدات خاص هوش مصنوعی را پوشش دهد. مشخصات سریع‌التغییر MCP همچنان کنترل‌های امنیتی خود را بالغ‌تر می‌کند و امکان یکپارچگی بهتر با معماری‌های امنیت سازمانی و بهترین شیوه‌های تثبیت شده را فراهم می‌سازد.

تحقیقات از گزارش دفاع دیجیتال مایکروسافت نشان می‌دهد که ۹۸٪ نقض‌های گزارش‌شده با رعایت بهداشت قوی امنیتی جلوگیری می‌شوند. مؤثرترین استراتژی حفاظت ترکیب شیوه‌های بنیادین امنیتی با کنترل‌های ویژه MCP است — اقدامات پایه تضمین‌شده، تأثیرگذارترین روش برای کاهش کلی ریسک امنیتی باقی می‌مانند.

چشم‌انداز فعلی امنیت

یادداشت: این اطلاعات استانداردهای امنیتی MCP را تا ۵ فوریه ۲۰۲۶ منعکس می‌کند، منطبق با مشخصات MCP 2025-11-25. پروتکل MCP همچنان به سرعت در حال توسعه است و پیاده‌سازی‌های آینده ممکن است الگوهای جدید احراز هویت و کنترل‌های پیشرفته را وارد کنند. همواره به مشخصات MCP جاری، مخزن گیت‌هاب MCP، و مستندات بهترین شیوه‌های امنیتی برای راهنمایی‌های جدید مراجعه کنید.

🏔️ کارگاه قله امنیت MCP (شرپا)

برای آموزش عملی امنیت، ما کارگاه قله امنیت MCP (شرپا) را شدیداً توصیه می‌کنیم — یک سفر راهنمایی شده جامع برای تأمین امنیت سرورهای MCP در آزور مایکروسافت.

نمای کلی کارگاه

کارگاه قله امنیت MCP آموزش امنیت عملی و قابل اجرا را از طریق متدولوژی اثبات‌شده «آسیب‌پذیر → بهره‌برداری → اصلاح → اعتبارسنجی» ارائه می‌دهد. شما:

• یادگیری از طریق شکستن: آسیب‌پذیری‌ها را با بهره‌برداری از سرورهای عمداً ناامن تجربه خواهید کرد
• استفاده از امنیت بومی آزور: از Azure Entra ID، Key Vault، مدیریت API، و ایمنی محتوای AI بهره ببرید
• پیروی از دفاع در عمق: از مسیر اردوگاه‌ها عبور کنید و لایه‌های کامل امنیتی بسازید
• کار با استانداردهای OWASP: هر تکنیک با راهنمای امنیت Azure MCP OWASP مطابقت دارد
• دریافت کد تولیدی: با پیاده‌سازی‌های عملی و آزموده شده کار را به پایان برسانید

مسیر سفر

اردوگاه	تمرکز	ریسک‌های پوشش داده شده OWASP
اردوگاه پایه	اصول MCP و آسیب‌پذیری‌های احراز هویت	MCP01، MCP07
اردوگاه ۱: هویت	OAuth 2.1، هویت مدیریت‌شده آزور، Key Vault	MCP01، MCP02، MCP07
اردوگاه ۲: دروازه	مدیریت API، نقاط پایان خصوصی، حاکمیت	MCP02، MCP07، MCP09
اردوگاه ۳: امنیت ورودی/خروجی	تزریق پرامپت، حفاظت از اطلاعات شخصی، ایمنی محتوا	MCP03، MCP05، MCP06
اردوگاه ۴: پایش	تجزیه و تحلیل لاگ، داشبوردها، تشخیص تهدید	MCP08
قله	تست ادغام تیم قرمز / تیم آبی	همه موارد

شروع کنید: https://azure-samples.github.io/sherpa/

۱۰ ریسک امنیتی برتر OWASP MCP

راهنمای امنیت Azure MCP OWASP ده ریسک بحرانی امنیتی برای پیاده‌سازی MCP را شرح می‌دهد:

ریسک	توضیح	کاهش در آزور
MCP01	مدیریت نادرست توکن و افشای اسرار	Azure Key Vault، هویت مدیریت‌شده
MCP02	افزایش سطح دسترسی از طریق گستردگی محدوده‌ها	RBAC، دسترسی شرطی
MCP03	مسمومیت ابزار	اعتبارسنجی ابزار، تأیید صحت
MCP04	حملات زنجیره تأمین	امنیت پیشرفته گیت‌هاب، اسکن وابستگی‌ها
MCP05	تزریق و اجرای فرمان	اعتبارسنجی ورودی، محیط محدودشده
MCP06	تزریق پرامپت از طریق داده‌های متنی زمینه‌دار	ایمنی محتوا آزور AI، سپرهای پرامپت
MCP07	احراز هویت و مجوز ناکافی	Azure Entra ID، OAuth 2.1 با PKCE
MCP08	نبود حسابرسی و تلماتری	Azure Monitor، Application Insights
MCP09	سرورهای سایه MCP	حاکمیت مرکز API، جداسازی شبکه
MCP10	تزریق زمینه و افشای بیش از حد اطلاعات	طبقه‌بندی داده، کمینه‌سازی نمایش

تحول احراز هویت MCP

مشخصات MCP در رویکرد احراز هویت و مجوزدهی به طور قابل توجهی تکامل یافته است:

• رویکرد اولیه: مشخصات اولیه نیازمند توسعه‌دهندگان برای پیاده‌سازی سرورهای احراز هویت سفارشی بودند، با سرورهای MCP که به عنوان سرور احراز هویت OAuth 2.0 عمل می‌کردند و احراز هویت کاربران را مستقیماً مدیریت می‌نمودند
• استاندارد فعلی (2025-11-25): مشخصات به‌روزشده اجازه می‌دهد سرورهای MCP احراز هویت را به ارائه‌دهندگان هویت خارجی (مانند Microsoft Entra ID) واگذار کنند که وضعیت امنیتی بهتری را ایجاد و پیچیدگی پیاده‌سازی را کاهش می‌دهد
• امنیت لایه انتقال: پشتیبانی تقویت‌شده برای مکانیزم‌های انتقال امن با الگوهای درست احراز هویت برای اتصالات محلی (STDIO) و از راه دور (HTTP استریم‌پذیر)

امنیت احراز هویت و مجوزدهی

چالش‌های امنیتی فعلی

پیاده‌سازی‌های مدرن MCP با چندین چالش احراز هویت و مجوز روبرو هستند:

ریسک‌ها و مسیرهای تهدید

• منطق مجوزدهی نادرست: پیاده‌سازی نادرست منطق دسترسی در سرورهای MCP می‌تواند داده‌های حساس را افشا کند و کنترل‌های دسترسی را اشتباه اجرا نماید
• نفوذ به توکن OAuth: سرقت توکن سرور محلی MCP به مهاجم اجازه می‌دهد به جای سرورها جا بزند و به سرویس‌های پایین‌دستی دسترسی یابد
• آسیب‌پذیری‌های عبور توکن: مدیریت نادرست توکن، دورزدن کنترل‌های امنیتی و ایجاد خلأهای پاسخگویی را ممکن می‌سازد
• دسترسی بیش از حد: سرورهای MCP با امتیازات بیش از حد، اصول حداقل امتیاز را نقض و سطح حمله را افزایش می‌دهند

عبور توکن: الگوی ضد بحرانی

عبور توکن در مشخصات مجوز MCP به صراحت ممنوع است به دلایل امنیتی جدی:

دورزدن کنترل‌های امنیتی

• سرورهای MCP و APIهای پایین‌دستی کنترل‌های حیاتی امنیتی مانند محدودیت نرخ، اعتبارسنجی درخواست، و پایش ترافیک را که به اعتبارسنجی درست توکن وابسته‌اند، اعمال می‌کنند
• استفاده مستقیم توکن مشتری به API، این محافظت‌ها را دور می‌زند و معماری امنیتی را تضعیف می‌کند

چالش‌های مسئولیت‌پذیری و حسابرسی

• سرورهای MCP نمی‌توانند بین مشتریانی که از توکن‌های صادرشده بالا دستی استفاده می‌کنند تمایز قائل شوند و رد پای حسابرسی را می‌شکنند
• لاگ‌های سرور منابع پایین‌دستی مبدأ درخواست‌ها را اشتباه نشان می‌دهد و میانجی‌های واقعی MCP ثبت نمی‌شوند
• بررسی واقعه و حسابرسی تطابق به شدت دشوار می‌شود

ریسک‌های داده‌گذاری غیرمجاز

• ادعاهای توکن تأییدنشده به عوامل مخرب با توکن‌های دزدیده شده اجازه می‌دهد سرورهای MCP را به عنوان پروکسی برای خروج داده‌های غیرمجاز استفاده کنند
• نقض مرزهای اعتماد امکان الگوهای دسترسی غیرمجاز و دورزدن کنترل‌های امنیتی مورد نظر را فراهم می‌سازد

بردارهای حمله چندسرویسی

• توکن‌های به خطر افتاده که توسط چند سرویس پذیرفته شده‌اند، امکان حرکت جانبی در میان سامانه‌های متصل را می‌دهند
• فرضیات اعتماد متقابل بین خدمات زمانی که مبدا توکن قابل تأیید نباشد نقض می‌شود

کنترل‌ها و کاهش‌های امنیتی

الزامات امنیتی حیاتی:

الزامی: سرورهای MCP مجاز نیستند هیچ توکنی را بپذیرند مگر اینکه صراحتاً برای سرور MCP صادر شده باشد

کنترل‌های احراز هویت و مجوزدهی

• بازبینی دقیق مجوزدهی: حسابرسی کامل منطق مجوزدهی سرور MCP برای اطمینان از اینکه فقط کاربران و کلاینت‌های مجاز به منابع حساس دسترسی دارند

  • راهنمای پیاده‌سازی: مدیریت API آزور به عنوان دروازه احراز هویت برای سرورهای MCP
  • یکپارچه‌سازی هویت: استفاده از Microsoft Entra ID برای احراز هویت سرور MCP

• مدیریت ایمن توکن: اجرای بهترین روش‌های اعتبارسنجی و مدیریت چرخه عمر توکن مایکروسافت

  • اعتبارسنجی ادعاهای توکن برای تطابق با هویت سرور MCP
  • اجرای سیاست‌های صحیح گردش و انقضای توکن
  • جلوگیری از حملات بازپخش توکن و استفاده غیرمجاز

• ذخیره توکن محافظت‌شده: ذخیره رمزنگاری‌شده توکن‌ها در حالت استراحت و انتقال

  • بهترین روش‌ها: راهنمای ذخیره‌سازی ایمن و رمزنگاری توکن

اجرای کنترل دسترسی

• اصل حداقل امتیاز: به سرورهای MCP تنها حداقل دسترسی‌های لازم برای عملکرد مورد نظر اعطا شود

  • بازبینی و به‌روزرسانی منظم امتیازات برای جلوگیری از گسترش دسترسی‌ها
  • مستندات مایکروسافت: دسترسی امن با حداقل امتیاز

• کنترل دسترسی مبتنی بر نقش (RBAC): واگذاری نقش‌های دقیق

  • محدود کردن نقش‌ها به منابع و عملیات مشخص
  • اجتناب از امتیازات گسترده یا غیرضروری که سطح حمله را افزایش دهند

• پایش مستمر مجوزها: اجرایی کردن حسابرسی و پایش دسترسی مداوم

  • رصد الگوهای استفاده از مجوزها برای کشف ناهنجاری‌ها
  • رفع سریع امتیازات بیش از حد یا بلااستفاده

تهدیدات امنیتی خاص هوش مصنوعی

حملات تزریق پرامپت و دستکاری ابزار

پیاده‌سازی‌های مدرن MCP با بردارهای حمله پیچیده خاص هوش مصنوعی مواجه‌اند که تمهیدات امنیتی سنتی قادر به مقابله کامل با آن‌ها نیستند:

تزریق پرامپت غیرمستقیم (تزریق پرامپت چند حوزه‌ای)

تزریق پرامپت غیرمستقیم یکی از بحرانی‌ترین آسیب‌پذیری‌ها در سیستم‌های هوش مصنوعی با MCP است. مهاجمین دستورالعمل‌های مخرب را داخل محتوای خارجی — اسناد، صفحات وب، ایمیل‌ها یا منابع داده — می‌گنجانند که سیستم‌های هوش مصنوعی بعداً به عنوان فرمان‌های معتبر پردازش می‌کنند.

سناریوهای حمله:

• تزریق مبتنی بر سند: دستورالعمل‌های مخرب پنهان در اسنادی که پردازش می‌شوند و باعث اجرای ناخواسته اقدامات هوش مصنوعی می‌گردند
• سوءاستفاده از محتوای وب: صفحات وب خراب شده حاوی پرامپت‌های جاسازی‌شده که رفتار هوش مصنوعی را هنگام جمع‌آوری داده تغییر می‌دهند
• حملات مبتنی بر ایمیل: پرامپت‌های مخرب در ایمیل‌ها که باعث افشای اطلاعات یا انجام اقدامات غیرمجاز توسط دستیاران هوش مصنوعی می‌شوند
• آلودگی منابع داده: بانک‌های اطلاعاتی یا APIهای آلوده که محتوای آلوده به هوش مصنوعی ارائه می‌دهند

تأثیرات دنیای واقعی: این حملات می‌توانند به افشای داده‌ها، نقض حریم خصوصی، تولید محتوای مضر، و دستکاری تعاملات کاربر منجر شوند. برای تحلیل دقیق، مراجعه کنید به تزریق پرامپت در MCP (سایمون ویلیسون).

حملات مسمومیت ابزار

مسمومیت ابزار متادیتایی را هدف قرار می‌دهد که ابزارهای MCP را تعریف می‌کند و از نحوه تفسیر شرح و پارامترهای ابزار توسط مدل‌های زبانی بزرگ برای تصمیم‌گیری در اجرای دستورات سوءاستفاده می‌کند.

مکانیزم‌های حمله:

• دستکاری متادیتا: مهاجمین دستورالعمل‌های مخرب را در شرح ابزار، تعاریف پارامتر یا مثال‌های کاربردی تزریق می‌کنند
• دستورات نامرئی: پرامپت‌های پنهان‌شده در متادیتای ابزار که توسط مدل‌های AI پردازش می‌شوند ولی برای کاربران انسانی قابل رؤیت نیستند
• تغییرات پویا در ابزار ("کلاه‌برداری‌های سخت"): ابزارهایی که توسط کاربران تأیید شده‌اند بعداً به اقدام‌های مخرب تغییر می‌یابند بدون اطلاع کاربران
• تزریق در پارامترها: محتوای مخرب جاسازی شده در اسکیمای پارامتر ابزار که رفتار مدل را تحت تأثیر قرار می‌دهد

ریسک سرورهای میزبانی شده: سرورهای MCP از راه دور، ریسک بالاتری دارند زیرا تعاریف ابزار ممکن است پس از تأیید اولیه کاربران به‌روزرسانی شوند و باعث شود ابزارهای قبلاً ایمن به مخرب تبدیل شوند. برای تحلیل کامل، ببینید حملات مسمومیت ابزار (Invariant Labs).

بردارهای حمله اضافی AI

• تزریق پرامپت چند حوزه‌ای (XPIA): حملات پیچیده‌ای که از محتوای چندین حوزه برای دور زدن کنترل‌های امنیتی استفاده می‌کنند
• تغییر پویا در قابلیت‌ها: تغییرات لحظه‌ای در قابلیت‌های ابزار که از ارزیابی‌های امنیتی اولیه فرار می‌کنند
• سم‌پاشی پنجره‌ی متن: حملاتی که پنجره‌های متن بزرگ را دستکاری می‌کنند تا دستورالعمل‌های مخرب را پنهان کنند
• حملات سردرگمی مدل: بهره‌برداری از محدودیت‌های مدل برای ایجاد رفتارهای غیرقابل پیش‌بینی یا ناامن

تأثیر ریسک امنیتی هوش مصنوعی

پیامدهای با تأثیر بالا:

• استخراج داده‌ها: دسترسی و سرقت غیرمجاز داده‌های حساس شرکتی یا شخصی
• نقض حریم خصوصی: افشای اطلاعات شناسایی شخصی (PII) و داده‌های محرمانه کسب‌وکار
• دستکاری سیستم‌ها: تغییرات ناخواسته در سیستم‌ها و جریان‌های کاری حیاتی
• سرقت اعتبارنامه‌ها: نفوذ به توکن‌های احراز هویت و مدارک سرویس‌ها
• حرکت جانبی: استفاده از سیستم‌های هوش مصنوعی به خطر افتاده به‌عنوان نقاط آغاز حملات گسترده‌تر شبکه

راهکارهای امنیت هوش مصنوعی مایکروسافت

سپرهای فرمان هوش مصنوعی: محافظت پیشرفته در برابر حملات تزریق فرمان

سپرهای فرمان هوش مصنوعی مایکروسافت دفاع جامع در برابر حملات تزریق فرمان مستقیم و غیرمستقیم از طریق چندین لایه امنیتی فراهم می‌کنند:

مکانیسم‌های اصلی محافظت:

1. شناسایی و فیلترینگ پیشرفته

   • الگوریتم‌های یادگیری ماشینی و تکنیک‌های NLP دستورالعمل‌های مخرب در محتوای خارجی را شناسایی می‌کنند
   • تحلیل لحظه‌ای اسناد، صفحات وب، ایمیل‌ها و منابع داده برای تهدیدات جاسازی شده
   • درک متنی از الگوهای فرمان مشروع در مقابل مخرب

2. تکنیک‌های نورافشانی

   • تمایز بین دستورالعمل‌های سیستم مطمئن و ورودی‌های خارجی احتمالا به خطر افتاده
   • روش‌های تبدیل متن که مرتبط بودن مدل را افزایش می‌دهد در حالی که محتوای مخرب را جدا می‌کند
   • کمک به سیستم‌های هوش مصنوعی در حفظ سلسله‌مراتب دستورالعمل صحیح و نادیده گرفتن فرمان‌های تزریق شده

3. سیستم‌های جداکننده و علامت‌گذاری داده

   • تعریف مرز صریح میان پیام‌های سیستم مطمئن و متن ورودی خارجی
   • نشانه‌های ویژه که مرز بین منابع داده معتبر و غیرمعتبر را برجسته می‌کنند
   • جداسازی واضح که از سردرگمی دستورالعمل و اجرای فرمان‌های غیرمجاز جلوگیری می‌کند

4. اطلاعات تهدید مستمر

   • مایکروسافت به طور مداوم الگوهای حمله در حال ظهور را رصد و دفاع‌ها را به‌روز می‌کند
   • شکار تهدید پیشگیرانه برای تکنیک‌ها و بردارهای حمله جدید تزریق
   • به‌روزرسانی‌های امنیتی منظم مدل‌ها برای حفظ اثربخشی در برابر تهدیدات در حال تحول

5. ادغام ایمنی محتوای Azure

   • بخشی از مجموعه جامع ایمنی محتوای Azure AI
   • شناسایی‌های اضافی برای تلاش‌های فرار از محدودیت، محتوای مضر و نقض سیاست‌های امنیتی
   • کنترل‌های امنیتی متحد در سراسر اجزای برنامه‌های هوش مصنوعی

منابع پیاده‌سازی: مستندات Microsoft Prompt Shields

تهدیدات امنیتی پیشرفته MCP

آسیب‌پذیری‌های ربودن جلسه

ربودن جلسه نشان‌دهنده یک بردار حمله بحرانی در پیاده‌سازی‌های حالت‌دار MCP است که در آن اشخاص غیرمجاز شناسه‌های جلسه معتبر را به دست آورده و سوء‌استفاده می‌کنند تا خود را به جای مشتریان جا بزنند و اقدامات غیرمجاز انجام دهند.

سناریوها و ریسک‌های حمله

• تزریق فرمان ربودن جلسه: مهاجمان با شناسه جلسه سرقت‌شده، رویدادهای مخرب را به سرورهایی تزریق می‌کنند که حالت جلسه را مشترک دارند، که ممکن است باعث فعال شدن اقدامات مضر یا دسترسی به داده‌های حساس شود
• شخصیت‌یابی مستقیم: شناسه‌های جلسه سرقت‌شده امکان فراخوانی مستقیم سرور MCP را بدون احراز هویت فراهم می‌کنند و مهاجمان را به عنوان کاربران مجاز تلقی می‌کنند
• جریان‌های قابل ادامه به خطر افتاده: مهاجمان می‌توانند درخواست‌ها را زودهنگام خاتمه دهند و باعث شوند مشتریان مشروع با محتوای احتمالا مخرب ادامه دهند

کنترل‌های امنیتی مدیریت جلسه

الزامات حیاتی:

• تأیید مجوز: سرورهای MCP که مجوز را پیاده‌سازی می‌کنند باید تمام درخواست‌های ورودی را تأیید کرده و نباید بر جلسات برای احراز هویت تکیه کنند
• تولید امن جلسه: استفاده از شناسه‌های جلسه غیرقطعی رمزنگاری شده با تولیدکننده‌های عدد تصادفی امن
• وابستگی به کاربر خاص: اتصال شناسه‌های جلسه به اطلاعات کاربر با فرمت‌هایی مانند <user_id>:<session_id> برای جلوگیری از سوءاستفاده جلسه میان کاربران
• مدیریت چرخه‌عمر جلسه: پیاده‌سازی انقضا، چرخش و باطل‌سازی مناسب برای محدود کردن پنجره آسیب‌پذیری
• امنیت انتقال: استفاده اجباری از HTTPS برای همه ارتباطات جهت جلوگیری از رهگیری شناسه‌های جلسه

مشکل نماینده سردرگم

مساله نماینده سردرگم زمانی رخ می‌دهد که سرورهای MCP به عنوان پراکسی احراز هویت بین مشتریان و سرویس‌های شخص ثالث عمل می‌کنند و فرصت‌هایی برای دورزدن مجوز از طریق سوءاستفاده از شناسه کلاینت ایستا ایجاد می‌شود.

مکانیک‌ها و خطرات حمله

• دورزدن رضایت مبتنی بر کوکی: احراز هویت قبلی کاربر باعث ایجاد کوکی‌های رضایت شده که مهاجمان از طریق درخواست‌های مجوز مخرب با URIهای ارجاع ساختگی آنها را سوءاستفاده می‌کنند
• سرقت کد مجوز: کوکی‌های رضایت موجود ممکن است باعث شود سرورهای مجوز صفحه رضایت را رد کنند و کدها را به نقاط انتهایی تحت کنترل مهاجم هدایت کنند
• دسترسی غیرمجاز به API: کدهای مجوز به سرقت رفته امکان تبادل توکن و جعل هویت کاربر بدون تأیید صریح را می‌دهند

استراتژی‌های کاهش ریسک

کنترل‌های اجباری:

• الزامات رضایت صریح: سرورهای پراکسی MCP که از شناسه‌های کلاینت ایستا استفاده می‌کنند باید رضایت کاربر برای هر کلاینت ثبت‌نام شده پویا را کسب کنند
• پیاده‌سازی امنیت OAuth 2.1: تبعیت از بهترین شیوه‌های امنیتی OAuth شامل PKCE برای همه درخواست‌های مجوز
• اعتبارسنجی سختگیرانه کلاینت: اجرای اعتبارسنجی دقیق URIهای ارجاع و شناسه‌های کلاینت برای جلوگیری از سوءاستفاده

آسیب‌پذیری‌های عبور توکن

عبور توکن یک الگوی ضد امنیتی صریح است که در آن سرورهای MCP توکن‌های کلاینت را بدون اعتبارسنجی مناسب پذیرفته و به APIهای پایین دستی ارسال می‌کنند که نقض مشخصات مجوز MCP محسوب می‌شود.

پیامدهای امنیتی

• دورزدن کنترل‌ها: استفاده مستقیم توکن کلاینت به API محدودیت‌های نرخ، اعتبارسنجی و نظارت حیاتی را دور می‌زند
• فساد مسیر حسابرسی: توکن‌های صادر شده در بالادست شناسایی کلاینت را غیرممکن می‌کنند و توانایی تحقیق در حوادث را قطع می‌کنند
• استخراج داده از طریق پراکسی: توکن‌های تأییدنشده امکان استفاده از سرورها به عنوان پراکسی برای دسترسی غیرمجاز به داده‌ها را فراهم می‌کنند
• نقض مرز اعتماد: فرضیات اعتماد سرویس‌های پایین‌دستی هنگام عدم امکان تأیید منشاء توکن نقض می‌شود
• گسترش حمله چندسرویسی: توکن‌های به خطر افتاده پذیرفته شده در چندین سرویس، حرکت جانبی را تسهیل می‌کنند

کنترل‌های امنیتی مورد نیاز

الزامات غیرقابل مذاکره:

• اعتبارسنجی توکن: سرورهای MCP نباید توکن‌هایی را بپذیرند که صراحتا برای آن سرور صادر نشده‌اند
• تأیید مخاطب توکن: همیشه ادعاهای مخاطب توکن را با هویت سرور MCP تطبیق دهید
• چرخه عمر مناسب توکن: استفاده از توکن‌های دسترسی با عمر کوتاه و رویه‌های چرخش ایمن

امنیت زنجیره تأمین برای سیستم‌های هوش مصنوعی

امنیت زنجیره تأمین فراتر از وابستگی‌های سنتی نرم‌افزاری گسترش یافته و کل اکوسیستم هوش مصنوعی را در بر می‌گیرد. پیاده‌سازی‌های مدرن MCP باید به‌طور دقیق همه اجزای مرتبط با هوش مصنوعی را بررسی و رصد کنند زیرا هر یک ممکن است آسیب‌پذیری‌هایی ایجاد کنند که می‌تواند یکپارچگی سیستم را به خطر اندازد.

اجزای توسعه یافته زنجیره تأمین هوش مصنوعی

وابستگی‌های نرم‌افزاری سنتی:

• کتابخانه‌ها و چارچوب‌های متن‌باز
• تصویرهای کانتینری و سیستم‌های پایه
• ابزارهای توسعه و خطوط ساخت
• اجزای زیرساخت و سرویس‌ها

عناصر زنجیره تأمین اختصاصی هوش مصنوعی:

• مدل‌های پایه: مدل‌های پیش‌آموزش‌دیده از تأمین‌کنندگان مختلف که نیاز به تأیید منشاء دارند
• خدمات جاسازی: خدمات بردارسازی خارجی و جستجوی معنایی
• تأمین‌کنندگان متن: منابع داده، پایگاه‌های دانش و مخازن اسناد
• APIهای شخص ثالث: خدمات خارجی هوش مصنوعی، خطوط ML، و نقاط پردازش داده
• آثار مدل: وزن‌ها، تنظیمات، و نسخه‌های مدل تنظیم‌شده
• منابع داده آموزشی: مجموعه داده‌های آموزش و تنظیم مدل

استراتژی جامع امنیت زنجیره تأمین

اعتبارسنجی و اعتماد به اجزا

• تأیید منشاء: اعتبار مبدا، مجوز و یکپارچگی همه اجزای هوش مصنوعی را پیش از ادغام بررسی کنید
• ارزیابی امنیت: اسکن آسیب‌پذیری و بازبینی امنیتی برای مدل‌ها، منابع داده و خدمات AI انجام دهید
• تحلیل اعتبار: سابقه امنیتی و شیوه‌های ارائه‌دهندگان خدمات هوش مصنوعی را ارزیابی کنید
• اعتبارسنجی انطباق: اطمینان از تناسب همه اجزا با نیازهای سازمانی امنیتی و مقرراتی

خطوط استقرار امن

• اسکن امنیتی خودکار CI/CD: یکپارچه‌سازی اسکن امنیتی در همانندسازی‌های خودکار استقرار
• یکپارچگی آثار: پیاده‌سازی تأیید رمزنگاری برای همه آثار استقرار یافته (کد، مدل‌ها، تنظیمات)
• استقرار مرحله‌ای: استفاده از استراتژی‌های استقرار پیش‌رونده با اعتبارسنجی امنیتی در هر مرحله
• مخازن آثار مطمئن: استقرار تنها از مخازن و رجیستری‌های آثار معتبر و امن

نظارت و پاسخ مداوم

• اسکن وابستگی: رصد مداوم آسیب‌پذیری برای همه وابستگی‌های نرم‌افزاری و اجزای هوش مصنوعی
• نظارت بر مدل: ارزیابی مستمر رفتار مدل، تغییر کارایی و ناپایداری‌های امنیتی
• پیگیری سلامت سرویس‌ها: نظارت بر خدمات هوش مصنوعی خارجی برای در دسترس بودن، حوادث امنیتی و تغییرات سیاست
• ادغام هوش تهدید: افزودن جریان‌های تهدید اختصاصی برای ریسک‌های امنیتی AI و ML

کنترل دسترسی و حداقل امتیاز

• مجوزهای سطح جزئیات: محدود کردن دسترسی به مدل‌ها، داده‌ها و سرویس‌ها براساس نیازهای کسب‌وکار
• مدیریت حساب سرویس: پیاده‌سازی حساب‌های سرویس اختصاصی با کمترین امتیاز لازم
• تقسیم‌بندی شبکه: جدا کردن اجزای هوش مصنوعی و محدود کردن دسترسی شبکه بین سرویس‌ها
• کنترل دروازه API: استفاده از دروازه‌های API متمرکز برای کنترل و نظارت بر دسترسی به سرویس‌های هوش مصنوعی خارجی

پاسخ به حادثه و بازیابی

• رویه‌های واکنش سریع: فرایندهای تثبیت یا جایگزینی سریع اجزای هوش مصنوعی به خطر افتاده
• چرخش مدارک: سیستم‌های خودکار برای چرخش اسرار، کلیدهای API و مدارک سرویس
• قابلیت بازگشت: توانایی بازگردانی سریع به نسخه‌های شناخته شده مطمئن قبلی اجزا
• بازیابی از نفوذ زنجیره تأمین: رویه‌های خاص پاسخ به نفوذهای بالادستی در خدمات هوش مصنوعی

ابزارها و ادغام امنیتی مایکروسافت

GitHub Advanced Security حفاظت گسترده زنجیره تأمین را شامل می‌شود:

• اسکن اسرار: تشخیص خودکار مدارک، کلیدهای API و توکن در مخازن
• اسکن وابستگی: ارزیابی آسیب‌پذیری برای وابستگی‌ها و کتابخانه‌های متن‌باز
• تحلیل CodeQL: تحلیل کد ایستا برای آسیب‌پذیری‌های امنیتی و مسائل کدنویسی
• بینش‌های زنجیره تأمین: دید کلی از سلامت وابستگی و وضعیت امنیتی

ادغام Azure DevOps و Azure Repos:

• ادغام روان اسکن امنیتی در سراسر پلتفرم‌های توسعه مایکروسافت
• بررسی‌های امنیتی خودکار در Azure Pipelines برای بارهای کاری هوش مصنوعی
• اجرای سیاست‌ها برای استقرار امن اجزای هوش مصنوعی

شیوه‌های داخلی مایکروسافت:
مایکروسافت شیوه‌های گسترده امنیت زنجیره تأمین را در سراسر محصولات اجرا می‌کند. درباره روش‌های اثبات شده در سفر به سوی امنیت زنجیره تأمین نرم‌افزار در مایکروسافت بیشتر بیاموزید.

بهترین شیوه‌های امنیتی پایه

پیاده‌سازی‌های MCP میراث و توسعه وضعیت امنیتی موجود سازمان شما هستند. تقویت بهترین شیوه‌های امنیتی پایه به طور قابل توجهی امنیت کلی سیستم‌های هوش مصنوعی و استقرارهای MCP را افزایش می‌دهد.

اصول بنیادی امنیت

شیوه‌های توسعه امن

• انطباق OWASP: محافظت در برابر آسیب‌پذیری‌های وب پرکاربرد OWASP Top 10
• حفاظت‌های اختصاصی هوش مصنوعی: اجرای کنترل‌ها برای OWASP Top 10 برای LLMها
• مدیریت امن اسرار: استفاده از گاوصندوق‌های اختصاصی برای توکن‌ها، کلیدهای API و داده‌های حساس تنظیمات
• رمزنگاری انتها به انتها: پیاده‌سازی ارتباطات امن در همه اجزای برنامه و جریان‌های داده
• اعتبارسنجی ورودی‌ها: اعتبارسنجی سخت‌گیرانه همه ورودی‌های کاربر، پارامترهای API و منابع داده

سخت‌سازی زیرساخت

• احراز هویت چندعاملی: اجباری برای همه حساب‌های مدیریتی و سرویس
• مدیریت وصله: به‌روزرسانی خودکار و به موقع برای سیستم‌عامل‌ها، چارچوب‌ها و وابستگی‌ها
• ادغام ارائه‌دهنده هویت: مدیریت هویت متمرکز از طریق ارائه‌دهندگان هویت سازمانی (Microsoft Entra ID، Active Directory)
• تقسیم‌بندی شبکه: ایزوله منطقی اجزای MCP برای محدود کردن حرکت جانبی
• اصل حداقل امتیاز: حداقل مجوزهای مورد نیاز برای همه اجزای سیستم و حساب‌ها

نظارت و تشخیص امنیتی

• ثبت جامع: ثبت دقیق فعالیت‌های برنامه هوش مصنوعی از جمله تعاملات کلاینت-سرور MCP
• ادغام SIEM: مدیریت متمرکز اطلاعات و رخدادهای امنیتی برای کشف ناهنجاری‌ها
• تحلیل رفتاری: مانیتورینگ مبتنی بر هوش مصنوعی برای تشخیص الگوهای غیرعادی در رفتار سیستم و کاربران
• هوش تهدید: ادغام جریان‌های تهدید خارجی و شاخص‌های نفوذ (IOCs)
• واکنش به حادثه: رویه‌های مشخص برای کشف، پاسخ و بازیابی از حوادث امنیتی

معماری اعتماد صفر

• هرگز اعتماد نکن، همیشه تأیید کن: تأیید مداوم کاربران، دستگاه‌ها و ارتباطات شبکه
• ریزتقسیم‌بندی: کنترل‌های شبکه دقیق که بار کاری و سرویس‌ها را جدا می‌کند
• امنیت مبتنی بر هویت: سیاست‌های امنیتی مبتنی بر هویت‌های تأیید شده به جای موقعیت شبکه
• ارزیابی ریسک مستمر: ارزیابی پویا وضعیت امنیتی بر اساس زمینه و رفتار فعلی
• دسترسی مشروط: کنترل‌های دسترسی که براساس عوامل ریسک، موقعیت و اعتماد دستگاه تنظیم می‌شوند

الگوهای ادغام سازمانی

ادغام اکوسیستم امنیتی مایکروسافت

• Microsoft Defender for Cloud: مدیریت گسترده وضعیت امنیتی ابر
• Azure Sentinel: قابلیت‌های بومی ابر SIEM و SOAR برای حفاظت بارهای کاری هوش مصنوعی
• Microsoft Entra ID: مدیریت هویت و دسترسی سازمانی با سیاست‌های دسترسی مشروط
• Azure Key Vault: مدیریت متمرکز اسرار با پشتیبانی ماژول امنیت سخت‌افزاری (HSM)
• Microsoft Purview: حاکمیت داده و انطباق برای منابع داده و جریان‌های کاری هوش مصنوعی

انطباق و حاکمیت

• تطابق با مقررات: اطمینان از اینکه پیاده‌سازی‌های MCP با الزامات انطباق صنعت (GDPR، HIPAA، SOC 2) هماهنگ هستند
• دسته‌بندی داده‌ها: دسته‌بندی و پردازش صحیح داده‌های حساس پردازش شده توسط سیستم‌های هوش مصنوعی
• ردپای حسابرسی: ثبت جامع برای انطباق با مقررات و تحقیقات قضایی
• کنترل‌های حفظ حریم خصوصی: اجرای اصول حفظ حریم خصوصی به صورت طراحی شده در معماری سیستم‌های هوش مصنوعی
• مدیریت تغییر: فرایندهای رسمی برای بازبینی امنیتی تغییرات سیستم هوش مصنوعی

این شیوه‌های بنیادی، پایه امنیتی محکمی ایجاد می‌کنند که اثربخشی کنترل‌های امنیتی خاص MCP را افزایش داده و حفاظت جامعی برای برنامه‌های مبتنی بر هوش مصنوعی فراهم می‌آورند.

نکات کلیدی امنیتی

• رویکرد امنیت لایه‌ای: ترکیب شیوه‌های پایه‌ای امنیتی (کدنویسی امن، حداقل امتیاز، تایید زنجیره تأمین، نظارت مستمر) با کنترل‌های مخصوص هوش مصنوعی برای حفاظت جامع

• چشم‌انداز تهدیدات مخصوص هوش مصنوعی: سیستم‌های MCP با خطرات خاصی از جمله تزریق دستورات، مسمومیت ابزار، ربایش جلسه، مشکلات نماینده گیج، آسیب‌پذیری‌های عبور توکن، و اجازه‌های بیش از حد مواجه‌اند که نیازمند کاهش تخصصی هستند

• برتری احراز هویت و مجوزدهی: پیاده‌سازی احراز هویت قوی با استفاده از ارائه‌دهندگان هویت خارجی (Microsoft Entra ID)، اجرای اعتبارسنجی مناسب توکن، و هرگز قبول نکردن توکن‌هایی که به صراحت برای سرور MCP شما صادر نشده‌اند

• جلوگیری از حملات هوش مصنوعی: استفاده از Microsoft Prompt Shields و Azure Content Safety برای دفاع در برابر حملات تزریق دستورات غیرمستقیم و مسمومیت ابزار، همراه با اعتبارسنجی متادیتای ابزار و نظارت بر تغییرات پویا

• امنیت جلسه و انتقال: استفاده از شناسه‌های جلسه رمزنگاری‌شده و غیرقطعی که به هویت کاربران متصل است، پیاده‌سازی مدیریت چرخه عمر جلسه صحیح، و هرگز استفاده از جلسات برای احراز هویت

• بهترین شیوه‌های امنیتی OAuth: جلوگیری از حملات نماینده گیج از طریق رضایت صریح کاربر برای مشتریان ثبت‌نام شده پویا، پیاده‌سازی صحیح OAuth 2.1 با PKCE، و اعتبارسنجی دقیق آدرس بازگشت (Redirect URI)

• اصول امنیت توکن: اجتناب از الگوهای ضد عبور توکن، اعتبارسنجی ادعای مخاطب توکن، پیاده‌سازی توکن‌های کوتاه‌مدت با چرخش امن، و حفظ مرزهای اعتماد شفاف

• امنیت جامع زنجیره تامین: برخورد با همه اجزای اکوسیستم هوش مصنوعی (مدل‌ها، تعبیه‌ها، تأمین‌کنندگان محتوا، APIهای خارجی) با همان دقت امنیتی وابستگی‌های نرم‌افزاری سنتی

• تحول مستمر: به‌روز ماندن با مشخصات در حال تکامل سریع MCP، مشارکت در استانداردهای جامعه امنیتی، و حفظ نگرش‌های امنیتی انطباقی همزمان با بلوغ پروتکل

• یکپارچه‌سازی امنیت مایکروسافت: بهره‌گیری از اکوسیستم امنیتی جامع مایکروسافت (Prompt Shields، Azure Content Safety، GitHub Advanced Security، Entra ID) برای حفاظت پیشرفته در استقرار MCP

منابع جامع

مستندات رسمی امنیت MCP

• مشخصات MCP (فعلی: 2025-11-25)
• بهترین شیوه‌های امنیتی MCP
• مشخصات مجوزدهی MCP
• مخزن گیت‌هاب MCP

منابع امنیت MCP از OWASP

• راهنمای امنیت Azure MCP از OWASP - ده تهدید برتر OWASP MCP با راهنمای پیاده‌سازی Azure
• ده تهدید برتر MCP از OWASP - ریسک‌های امنیتی رسمی OWASP MCP
• کارگاه موجز امنیت MCP (Sherpa) - آموزش عملی امنیت MCP در Azure

استانداردها و بهترین شیوه‌های امنیتی

• بهترین شیوه‌های امنیت OAuth 2.0 (RFC 9700)
• ده تهدید برتر امنیت برنامه‌های وب OWASP
• ده تهدید برتر برای مدل‌های زبان بزرگ OWASP
• گزارش دفاع دیجیتال مایکروسافت

تحقیقات و تحلیل امنیت هوش مصنوعی

• تزریق دستورات در MCP (Simon Willison)
• حملات مسمومیت ابزار (Invariant Labs)
• موجز تحقیقات امنیت MCP (Wiz Security)

راهکارهای امنیتی مایکروسافت

• مستندات Microsoft Prompt Shields
• سرویس Azure Content Safety
• امنیت Microsoft Entra ID
• بهترین شیوه‌های مدیریت توکن Azure
• GitHub Advanced Security

راهنمایی‌ها و آموزش‌های پیاده‌سازی

• مدیریت API Azure به عنوان دروازه احراز هویت MCP
• احراز هویت Microsoft Entra ID با سرورهای MCP
• ذخیره و رمزگذاری ایمن توکن (ویدئو)

امنیت DevOps و زنجیره تامین

• امنیت Azure DevOps
• امنیت Azure Repos
• سفر امنیت زنجیره تأمین مایکروسافت

مستندات تکمیلی امنیت

برای راهنمایی جامع امنیت به این اسناد تخصصی در این بخش مراجعه کنید:

• بهترین شیوه‌های امنیت MCP 2025 - بهترین شیوه‌های کامل امنیت برای پیاده‌سازی‌های MCP
• پیاده‌سازی Azure Content Safety - مثال‌های عملیاتی برای همگام‌سازی Azure Content Safety
• کنترل‌های امنیتی MCP 2025 - جدیدترین کنترل‌ها و تکنیک‌های امنیتی برای استقرار MCP
• راهنمای مرجع سریع بهترین شیوه MCP - راهنمای مرجع سریع برای روش‌های امنیتی ضروری MCP

آموزش عملی امنیت

• کارگاه موجز امنیت MCP (Sherpa) - کارگاه عملی جامع برای ایمن‌سازی سرورهای MCP در Azure با کمپ‌های پیشروی از Base Camp تا Summit
• راهنمای امنیت Azure MCP از OWASP - معماری مرجع و راهنمای پیاده‌سازی برای همه ریسک‌های ده تهدید برتر OWASP MCP

---

ادامه مسیر

بعدی: فصل ۳: شروع به کار

---

سلب مسئولیت:
این سند با استفاده از سرویس ترجمه هوش مصنوعی Co-op Translator ترجمه شده است. در حالی که ما در تلاش برای دقت هستیم، لطفاً توجه داشته باشید که ترجمه‌های خودکار ممکن است دارای خطا یا نادرستی باشند. سند اصلی به زبان بومی آن باید به عنوان منبع معتبر در نظر گرفته شود. برای اطلاعات حیاتی، استفاده از ترجمه انسانی حرفه‌ای توصیه می‌شود. ما مسئول هیچ گونه سوء تفاهم یا تفسیر نادرست ناشی از استفاده از این ترجمه نیستیم.