Semantic Layer ปะทะ MCP: ความเสี่ยงด้านความปลอดภัยของ ERP

𝗦𝗲𝗺𝗮𝗻𝘁𝗶𝗰 𝗟𝗮𝘆𝗲𝗿 𝘃𝘀 𝗠𝗖𝗣: 𝗧𝗵𝗲 𝗘𝗥𝗣 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗥𝗶𝘀𝗸

สถาปนิกหลายคนต่างชื่นชมความสามารถของ LLM ในการเชื่อมต่อกับระบบองค์กรผ่าน MCP แต่พวกเขามองข้ามความเสี่ยงสำคัญอย่างหนึ่งไป นั่นคือ Prompt ที่ประสงค์ร้ายสามารถสั่งให้เกิดการเขียนข้อมูล (write operation) จริงๆ ในระบบ ERP ของคุณได้ ซึ่งสิ่งนี้เกิดขึ้นได้โดยไม่มีการแจ้งเตือนหรือการตรวจสอบโดยมนุษย์

คุณต้องเข้าใจความแตกต่างระหว่าง Semantic Layer และ MCP

Semantic Layer จะทำหน้าที่อยู่ระหว่าง LLM และข้อมูลของคุณ โดยจะเปิดเผยเฉพาะค่า Metrics และ KPIs เท่านั้น และเป็นแบบอ่านอย่างเดียว (read-only) หาก LLM ทำงานผิดพลาด มันจะอ่านได้เพียงข้อมูลที่ได้รับอนุญาตให้เข้าถึงอยู่แล้วเท่านั้น ความเสียหายจึงมีเพียงเล็กน้อย

แต่ MCP นั้นแตกต่างออกไป เพราะ MCP server จะดำเนินการ (execute) คำสั่งจริงๆ ได้ เช่น การอัปเดตบันทึกข้อมูล การเปลี่ยนราคา หรือการอนุมัติคำสั่งซื้อ นี่คือจุดที่ความอันตรายซ่อนอยู่

หากผู้ใช้ทำการฉีด Prompt (inject a prompt) เข้ามา LLM อาจออกคำสั่ง MCP ที่ถูกต้องตามรูปแบบ แต่มีเจตนาที่ไม่ดี

ตัวอย่างความล้มเหลว:

• ผู้โจมตีฉีด Prompt เข้าไปใน AI assistant
• Prompt สั่งให้ LLM ตั้งค่าราคาสินค้าทั้งหมดเป็นศูนย์
• MCP server ได้รับคำสั่งอัปเดตราคาที่ถูกต้องตามรูปแบบ
• ระบบ ERP ดำเนินการเปลี่ยนแปลงตามนั้น
• คำสั่งซื้อหลายพันรายการถูกส่งเข้ามาในราคาศูนย์ก่อนที่จะมีใครสังเกตเห็น

เพื่อป้องกันสิ่งนี้ ทุกการเขียนข้อมูลผ่าน MCP จำเป็นต้องมีการควบคุม 3 อย่าง:

1. Prompt Validation ตรวจสอบคำสั่งก่อนที่จะส่งไปถึง MCP server ตรวจดูว่าการกระทำนั้นตรงกับเป้าหมายของผู้ใช้หรือไม่ และตรวจสอบว่าค่าต่างๆ อยู่ในขอบเขตที่ปลอดภัยหรือไม่ โดยให้ถือว่า Prompt เป็นข้อมูลนำเข้าที่ไม่น่าไว้วางใจ (untrusted input)

2. Schema Enforcement MCP server ต้องใช้สัญญา (contracts) ที่เข้มงวด กำหนดพารามิเตอร์ที่อนุญาตให้ชัดเจน เครื่องมือที่อัปเดตราคาได้ทีละรายการจะปลอดภัยกว่าเครื่องมือที่ทำการอัปเดตแบบกลุ่ม (bulk updates)

3. Human-in-the-loop (HITL) ข้อมูลสำคัญ เช่น ราคาหรือสินค้าคงคลัง จำเป็นต้องได้รับการอนุมัติจากมนุษย์ ตัว Agent จะต้องส่งคำขอและรอให้มนุษย์ทำการอนุมัติก่อนที่ MCP server จะดำเนินการตามคำสั่ง ห้ามปล่อยให้ LLM ข้ามขั้นตอนการตรวจสอบนี้เด็ดขาด

นอกจากนี้ คุณยังต้องการความสามารถในการสังเกตการณ์ (observability) อย่างเต็มรูปแบบ ทุกการเขียนข้อมูลต้องมีร่องรอยการตรวจสอบ (audit trail) คุณต้องติดตามได้ว่าใครเป็นคนเริ่มคำสั่ง, ใช้ Prompt อะไร, ผลการตรวจสอบเป็นอย่างไร และใครเป็นมนุษย์ที่ทำการอนุมัติ

ใช้ Semantic Layer สำหรับการอ่านข้อมูล และใช้ MCP สำหรับการเขียนข้อมูล แต่ห้ามปล่อยให้ MCP เข้าถึง ERP ของคุณโดยไม่มีการตรวจสอบ (validation), การใช้ Schema ที่เข้มงวด และการอนุมัติจากมนุษย์โดยเด็ดขาด

การกำกับดูแล (Governance) คือรากฐานของ AI ในระดับองค์กร

Source: https://dev.to/dnyandeo/semantic-layer-vs-mcp-why-direct-erp-write-access-is-an-enterprise-security-risk-3po8

Optional learning community: https://t.me/GyaanSetuAi