Keď AI asistent získa prístup k vašim business aplikáciám, už neprevádzkujete len chatbot. Zavádzate novú prístupovú rovinu s vlastnými bezpečnostnými rizikami.
Model Context Protocol (MCP) vznikol ako otvorený štandard pre prepojenie AI asistentov s firemnými systémami. Namiesto ad hoc konektorov ponúka jednotný spôsob integrácie. Pre architektov ide o zjednodušenie. Pre GRC a bezpečnostných profesionálov však ide o niečo podstatnejšie – nový útokový povrch, ktorý vyžaduje konkrétne opatrenia.
Prečo je MCP integrácia odlišná od klasického API
V momente, keď prepojíte business aplikácie cez MCP s public LLM, mení sa charakter rizika. Nejde už len o kvalitu odpovedí chatbota. Vzniká prístupová vrstva, ktorá vie čítať firemné dáta a v mnohých prípadoch aj spúšťať operácie v interných systémoch – vytvárať tikety, zmenové požiadavky, odosielať notifikácie.
Tri faktory, ktoré menia bezpečnostnú rovnicu
Public LLM ako externá služba
Dáta, metadáta a prevádzkové informácie môžu opustiť vaše prostredie. Aj pri enterprise režimoch musíte vedieť presne odpovedať: aké dáta odchádzajú, kto je prevádzkovateľ, kde prebieha spracovanie, čo sa loguje a aké sú zmluvné garancie.
MCP ako jednotný integračný bod
Štandardizácia prístupu k nástrojom je výhoda, ale zároveň vytvára centrálny bod, ktorý si zaslúži rovnakú prísnosť ako API gateway alebo IAM vrstva. MCP špecifikácia obsahuje autorizáciu pre HTTP transporty postavenú na OAuth 2.1, no implementácia a vynucovanie pravidiel zostáva na vašej strane.
Zmena charakteru bezpečnostného incidentu
Pri klasickom chatbote ide incident typicky o únik informácie. Pri integrácii s nástrojmi sa incident týka aj integrity a dostupnosti – čo sa spustilo, komu sa vytvoril prístup, čo sa zmenilo v systémoch alebo odoslalo mimo organizácie.
Najčastejších triedy rizík pri MCP integráciách
Neoprávnené akcie cez nástroje
Keď MCP server umožňuje write operácie – vytvorenie tiketu, zmenu údajov, spustenie workflow – vzniká riziko neúmyselnej alebo neoprávnenej akcie. Problém nebýva „zlý model“, ale slabá autorizácia, príliš široké oprávnenia a chýbajúce limity pre write operácie.
Typické scenáre:
- Servisný účet s oprávneniami na celú doménu namiesto konkrétneho scope
- Žiadne oddelenie read a write operácií
- Chýbajúci rate limiting pre kritické akcie
Kľúčový rozdiel: Či akcie bežia v mene používateľa, alebo v mene servisného účtu. Ak to nie je jasne definované, audit trail je slabý už v dizajne.
Únik dát cez kontext a výstupy nástrojov
Model pracuje s kontextom. Nástroje vracajú dáta. Bez jasne definovaných pravidiel o tom, ktoré typy dát smú ísť do public LLM, ľahko skončíte s únikom osobných údajov, obchodných tajomstiev, interných finančných informácií alebo zákazníckych dát.
Kritické otázky:
- Existuje klasifikácia dát pre MCP integrácie?
- Vieme technicky vynútiť, že určité typy dát neopustia prostredie?
- Máme monitoring, ktorý odhalí anomálny objem dát v kontexte?
Indirect prompt injection cez tool output
Aj pri legitímnej otázke môže model načítať odpoveď z nástroja alebo dokumentu, ktorá obsahuje manipulatívny obsah. Externý obsah tak môže zmeniť správanie systému bez vedomia používateľa.
Mitigácia:
- Oddeľovanie dát od inštrukcií v kontexte
- Validácia výstupov nástrojov pred ich pridaním do kontextu
- Monitoring pre detekciu podozrivých vzorov v tool outputs
Riziko tretích strán a nekontrolované pripájanie konektorov
„Niekto si nájde hotový MCP server, pripojí ho a funguje to“ – tento scenár je častejší, než by mal byť. OWASP GenAI Security Project vydal cheat sheet pre bezpečné používanie third party MCP serverov, ktorý rieši autentizáciu, autorizáciu, sandboxing klienta a governance workflow.
Red flags:
- MCP server z neznámeho zdroja v produkcii
- Žiadny review kódu alebo bezpečnostné testovanie
- Absentujúci proces pre schvaľovanie nových konektorov
Chýbajúca auditovateľnosť
Ak neviete spätne zodpovedať otázku kto, kedy a prečo spustil konkrétnu akciu, nemáte to pod kontrolou – ani bezpečnostne, ani auditne. Pri MCP a nástrojoch nie je audit trail bonus, ale základ.
Guardrails, ktoré musia byť mimo modelu
Model nie je kontrolný prvok. Kontroly a vynucovanie pravidiel musia byť mimo neho.
Policy enforcement mimo LLM
LLM môže navrhnúť akciu, ale povolenie musí vyhodnotiť systém mimo modelu. V praxi to znamená autorizačnú vrstvu, ktorá vie povedať nie, aj keď model „chce“ vykonať zmenu.
Least privilege pre nástroje a účty
Každý MCP nástroj musí mať jasne definované oprávnenia. Read a write sa oddeľujú. Kritické akcie nechodia cez všeobecný servisný účet. MCP špecifikácia autorizácie rieši spôsob bezpečného prístupu na úrovni transportu, ale governance zostáva vaša zodpovednosť.
Schvaľovanie človekom pri citlivých akciách
Nie všade, ale pri jasne definovaných kategóriách. Typicky:
- Zmeny prístupových práv
- Finančné transakcie
- Odosielanie dát mimo organizácie
- Zmeny kritických konfigurácií
OWASP uvádza tento princíp ako súčasť mitigácií pre third party MCP servery.
Rate limiting a limity dopadu
Aj správna integrácia sa dá zneužiť na náklady alebo narušenie dostupnosti. Kvóty, rate limiting, limity počtu akcií a monitoring spotreby nie sú optional.
Bezpečná správa MCP serverov
MCP dokumentácia obsahuje samostatné bezpečnostné odporúčania pokrývajúce autentizáciu, autorizáciu, logging a spôsob nasadenia. Pre enterprise prostredie ide o povinné minimum.
Rýchly decision filter pred schválením integrácie
Ak máte rozhodnúť, či je konkrétne prepojenie pripravené na produkciu, tieto tri otázky často odhalia problém skôr, než sa zmení na incident:
1. Vie to robiť write akcie, alebo len read?
Ak write, musíte mať striktné oprávnenia, limity dopadu a často aj schvaľovanie človekom.
2. Aké dáta môžu ísť do kontextu?
Ak neexistuje dátová hranica a klasifikácia, public LLM sa stáva kanálom na nekontrolované spracovanie dát.
3. Existuje policy enforcement a audit trail mimo modelu?
Ak neviete vynútiť pravidlo a spätne vysvetliť vykonanú akciu, integrácia je z GRC pohľadu nefunkčná.
Ak nemáte kontrolu nad tým, čo systém môže urobiť (write scope) a čo môže odoslať do public LLM (data boundary), governance je formálna a nie reálna.
Minimálny baseline pred produkciou
Pre každú MCP integráciu potrebujete evidovať:
- Owner a účel use casu – kto zodpovedá, prečo to potrebujeme
- Public LLM poskytovateľ a režim spracovania – zmluva, SLA, data residency
- Zoznam MCP serverov a nástrojov – verzie, zdroj, review status
- Typy akcií – read vs write, scope, frekvencie
- Dátová klasifikácia – čo smie do kontextu, čo je zakázané
- Autorizačný model – OAuth pre HTTP transporty, identity pre akcie
- Guardrails mimo modelu – policy enforcement, allowlist, limity
- Audit trail – logovanie, monitoring, retencia
- Výsledky testov – injection scenáre, zneužitie nástrojov
Až keď toto existuje, má zmysel riešiť komfort používania a škálovanie.
V čom to evidovať a riadiť
AI governance platformy
OneTrust AI Governance, Credo AI, Holistic AI – určené na AI register, riziká, kontroly a reporting.
Kedy to dáva zmysel: Keď chcete AI ako samostatnú doménu s vlastnými šablónami hodnotení a auditnými artefaktmi.
Klasické enterprise GRC
ServiceNow IRM, Archer, IBM OpenPages – ak už máte GRC, spraviť z MCP integrácií novú kategóriu služby a riadiť ich rovnako ako IAM, API integrácie alebo kritické aplikácie.
Kedy to dáva zmysel: Keď chcete, aby AI integrácie prešli rovnakým schvaľovaním, kontrolami a auditom ako ostatné kritické systémy.
Minimum viable riadenie
Jednotný register, šablóna rizík a dôkazov, jasný approval proces. V enterprise prostredí však tento prístup často narazí na škálovanie a audit požiadavky.
Záver: MCP nie je len technická integrácia
MCP uľahčuje prepojenie AI s nástrojmi a business aplikáciami. Mení však charakter rizika z „čo model odpovie“ na „čo model spraví“. Už nejde len o kvalitu odpovedí, ale o prístup, akcie, audit trail a riadenie toho, čo smie ísť do public LLM.
Ak chcete MCP používať bezpečne, musíte z toho spraviť riadenú službu. Evidovať integrácie, definovať dátové hranice, vynucovať pravidlá mimo modelu a mať auditovateľnosť od prvého dňa. OWASP to pri third party MCP serveroch popisuje explicitne.
Bez governance a bez kontrol mimo modelu sa z MCP ľahko stane rýchla skratka k incidentu.
Pre praktickú implementáciu: Začnite malým pilotom s jednou integráciou, otestujte všetky kontroly, zdokumentujte a až potom škálujte. Bez týchto kontrol sa problémy zvyčajne ukážu až pri incidente.
