Warstwa semantyczna vs MCP: Ryzyko bezpieczeństwa ERP
Wielu architektów zachwyca się możliwością łączenia modeli LLM z systemami korporacyjnymi za pomocą MCP. Przeoczają oni jednak poważne ryzyko. Złośliwy prompt może wywołać rzeczywistą operację zapisu w systemie ERP. Dzieje się to bez alarmów czy ludzkiej weryfikacji.
Musisz zrozumieć różnicę między warstwą semantyczną a MCP.
Warstwa semantyczna znajduje się pomiędzy modelem LLM a Twoimi danymi. Udostępnia ona metryki i wskaźniki KPI. Jest ona tylko do odczytu. Jeśli LLM popełni błąd, odczyta jedynie te dane, do których widzenia ma już uprawnienia. Szkody są wówczas niewielkie.
MCP działa inaczej. Serwery MCP wykonują rzeczywiste operacje. Mogą aktualizować rekordy, zmieniać ceny lub zatwierdzać zamówienia. To właśnie tutaj kryje się niebezpieczeństwo.
Jeśli użytkownik wstrzyknie prompt, LLM może wydać poprawną komendę MCP o złych zamiarach.
Przykład awarii:
- Atakujący wstrzykuje prompt do asystenta AI.
- Prompt nakazuje LLM ustawienie wszystkich cen produktów na zero.
- Serwer MCP otrzymuje poprawną komendę aktualizacji cen.
- System ERP wykonuje zmianę.
- Zanim ktokolwiek to zauważy, spływają tysiące zamówień z ceną zero.
Aby temu zapobiec, każda operacja zapisu MCP wymaga trzech mechanizmów kontrolnych:
Walidacja promptu Waliduj instrukcję, zanim dotrze ona do serwera MCP. Sprawdź, czy działanie jest zgodne z celem użytkownika. Sprawdź, czy wartości mieszczą się w bezpiecznych zakresach. Traktuj prompt jako niezaufane dane wejściowe.
Wymuszanie schematu Serwer MCP musi korzystać ze ścisłych kontraktów. Zdefiniuj dokładnie, jakie parametry są dozwolone. Nar