Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Global Security Mag · 1T SIDEN · sikkerhet

Lasso lanserer åpen kildekode-sikkerhetsgateway for MCP

SYNOPSIS_GENERERT

Lasso slipper MCP Gateway som åpen kildekode: en proxy mellom agenten og MCP-serverne som filtrerer både forespørsler og svar, og logger all verktøybruk.

Sikkerhetsselskapet Lasso har sluppet MCP Gateway som åpen kildekode, ifølge kunngjøringen gjengitt av Global Security Mag. Gatewayen fungerer som proxy og orkestrator for all MCP-trafikk, og skal ifølge selskapet være kompatibel med eksisterende agentoppsett uten at du endrer dem.

MCP har på drøyt halvannet år gått fra Anthropic-lansering i november 2024 til å bli de facto standard for å koble modeller mot verktøy og data. Økosystemet vokste raskere enn sikkerhetsverktøyene rundt det: lista Awesome MCP Servers har passert 37 000 stjerner på GitHub, mens infrastruktur for policy, logging og filtrering stort sett har manglet.

Lasso peker på fire risikoer gatewayen skal dempe: sensitive data som lekker ut gjennom verktøysvar, prompt-injeksjon skjult i verktøybeskrivelser og parameterhint, kommandoinjeksjon som ender i kjøring av vilkårlig kode, og fravær av logging som gjør misbruk nær umulig å etterforske. Nummer to er ikke teoretisk: en verktøybeskrivelse leses av modellen som instruksjon, ikke som data.

«Filtrene brukes på både forespørsler og svar, og hindrer eksponering av sensitive data før informasjonen når agenten.» — Lasso, i kunngjøringen

Dette er leverandørens egne beskrivelser. Global Security Mag gjengir kunngjøringen uten uavhengig testing, og det foreligger ingen tredjepartsvurdering av hvor godt filtrene faktisk stopper prompt-injeksjon i praksis.

Hva bør du gjøre?

  1. Kartlegg hvilke MCP-servere agentene dine faktisk snakker med. De fleste oppsett har ingen logg over det i dag, og da ser du heller ikke misbruket.
  2. Behandle verktøybeskrivelser fra tredjeparts MCP-servere som upålitelig input, enten du setter en gateway foran eller ikke.
  3. Test filtrene selv før du stoler på dem, siden ingen uavhengig evaluering finnes ennå.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN