Pastikan Protokol Konteks Model: Bangun agen yang lebih aman di masa depan di Windows

Karena agen IA menjadi lebih mampu dan terintegrasi dalam alur kerja sehari -hari, kebutuhan akan komunikasi yang aman dan standar antara alat dan agen tidak pernah lebih besar. Di Microsoft Build 2025, kami mengumumkan pratinjau awal tentang bagaimana Windows 11 mengadopsi model Konteks Protokol (MCP) sebagai lapisan mendasar untuk komputer dan komputasi agen yang dapat dioperasikan, dan bagaimana kami memastikannya dari tanah.

Apa itu MCP?

MCP adalah protokol yang ringan dan terbuka, pada dasarnya JSON-RPC di HTTP, yang memungkinkan agen dan aplikasi untuk menemukan dan memanggil alat dengan cara standar. Ini memungkinkan orkestrasi yang sempurna dalam layanan lokal dan jarak jauh, yang memungkinkan pengembang untuk membangun sekali dan berintegrasi di mana -mana.

MCP mendefinisikan tiga peran:

• Host MCP: Aplikasi seperti kode atau alat AI lain yang ingin mengakses kemampuan melalui MCP.

• Pelanggan MCP: Pelanggan yang memulai permintaan ke server MCP.

• Server MCP: Layanan ringan yang mengekspos kemampuan spesifik (misalnya, akses ke sistem file, pencarian semantik, tindakan aplikasi) melalui antarmuka MCP.

Windows 11 akan mengakui bahwa pengembang membuat aplikasi cerdas yang ingin menggunakan MCP dan kemampuan generatif AI untuk membuat aplikasi generatif dan kecerdasan yang dapat memanfaatkan MCP ketika tepat untuk mengambil tindakan atas nama pengguna. Kami akan memberikan pratinjau awal kemampuan platform MCP kepada pengembang dalam beberapa bulan mendatang untuk komentar.

Mengapa Impor Keamanan

MCP membuka kemungkinan baru dan kuat, tetapi juga menghadirkan risiko baru. Tanpa kontrol yang kuat, server MCP, misalnya, dapat mengekspos fungsionalitas sensitif, tidak dikonfigurasi dengan buruk untuk memungkinkan akses jarak jauh atau dieksploitasi melalui banyak cara serangan, termasuk bentuk baru, seperti injeksi cepat atau alat keracunan. Dari perspektif keamanan, data input dan pelatihan untuk LLM dianggap tidak dapat diandalkan. Selain itu, injeksi cross prompt dapat memungkinkan penyerang untuk memasukkan data yang tidak dapat diantarkan dan menyelesaikan a Wakil yang bingung stroke. Dalam hal aplikasi obrolan sederhana, implikasi dari injeksi cepat bisa berupa jailbreak atau filtrasi data memori, dengan MCP implikasinya bisa menjadi eksekusi lengkap dari kode jarak jauh, serangan gravitasi tertinggi.

Kami telah menggunakan penelitian keamanan internal dan eksternal untuk mengidentifikasi beberapa vektor ancaman yang muncul yang harus dihitung dalam arsitektur agen yang aman:

• Injeksi Promosi Lintas (XPIA): Konten berbahaya yang diintegrasikan ke dalam elemen atau dokumen antarmuka pengguna dapat membatalkan instruksi agen, yang mengarah pada tindakan yang tidak diinginkan seperti exfiltrasi data atau instalasi malware.

• Kesenjangan otentikasi: Standar otentikasi MCP saat ini baru dan diadopsi secara tidak konsisten. Oauth adalah opsional, dan pendekatan ad-hoc muncul.

• Kebocoran kredensial: Agen yang dieksekusi dengan hak istimewa pengguna lengkap untuk mengekspos token rahasia atau kredensial.

• Keracunan alat: Server MCP non -vettid atau berkualitas rendah dapat mengekspos fungsionalitas berbahaya atau digunakan untuk meningkatkan hak istimewa.

• Kurangnya penahanan: Tidak ada isolasi, agen yang berkomitmen dapat mempengaruhi seluruh sesi atau sistem pengguna.

• Tinjauan Keamanan Terbatas: Banyak server berkembang pesat dengan tinjauan keamanan minimal, yang meningkatkan risiko kerentanan.

• Pendaftaran dan risiko rantai pasokan MCP: Tanpa penelitian, pendaftaran publik server MCP dapat menjadi vektor untuk malware atau penyalahgunaan.

• Injeksi perintah: Entri yang salah divalidasi pada server MCP dapat menyebabkan eksekusi perintah sewenang -wenang.

Standar MCP dan Keselamatan Terkait IA adalah bidang pergerakan yang cepat. Tujuan Windows 11 sebagai sistem operasi agen adalah untuk memberikan kemampuan keamanan mendasar yang lebih kuat sambil berkembang dan beradaptasi dengan ancaman yang muncul.

Arsitektur Keamanan MCP di Windows 11

Sejalan dengan Microsoft Inisiatif aman di masa depan Komitmen, keamanan adalah prioritas utama kami saat kami memperluas kemampuan MCP. Arsitektur Keamanan MCP di Windows 11 memberikan kemampuan keamanan mendasar berdasarkan prinsip -prinsip berikut:

1. Berikan serangkaian persyaratan keselamatan bahwa semua pengembang server MCP harus mematuhi untuk membantu menjamin keselamatan pengguna.
   • Windows 11 berupaya memberikan ekosistem server yang terbuka dan beragam sambil mempertahankan keamanan pengguna sebagai prioritas tertinggi. Ini berarti memastikan bahwa setiap server memenuhi persyaratan keamanan (informasi lebih lanjut tentang ini di bawah), memiliki identitas yang unik, dan kode tersebut ditandatangani untuk memungkinkan validasi dan pencabutan asal bila diperlukan.
2. Pengguna memiliki kendali atas semua operasi sensitif keselamatan yang dilakukan atas nama mereka.
   • Ketika agen bekerja pada nama pengguna, ruang lingkup dan operasinya harus transparan untuk pengguna, dan operasi rahasia, seperti modifikasi pada keadaan sistem operasi, akses data dan kredensial harus berada di permukaan. Semua tindakan sensitif yang dilakukan atas nama pengguna harus dapat diaudit dan transparan.
3. Prinsip hak istimewa yang lebih rendah harus diterapkan untuk mengandung dampak dari segala kemungkinan serangan pada server MCP.
   • Windows 11 menegakkan kemampuan dan isolasi deklaratif (bila perlu) sehingga server membatasi jari -jari ledakan dan dampak serangan MCP.

Kontrol Keamanan MCP

Untuk memenuhi janji -janji ini, Windows 11 akan memberikan kontrol keamanan berikut:

• Komunikasi yang dimediasi daya: Semua interaksi server pelanggan MCP terlampir melalui proxy Windows yang andal, yang memungkinkan penerapan kebijakan dan persetujuan terpusat. Ini termasuk kemampuan untuk menegakkan otentikasi dan otorisasi dengan cara terpusat dan konsisten yang membahas salah satu tantangan utama dengan protokol MCP. Ini juga memungkinkan audit transparan dari semua operasi di botal dan memberikan titik sentral di mana solusi keselamatan dapat mengamati dan menanggapi kemungkinan serangan.

• Otorisasi di tingkat alat: Pengguna harus secara eksplisit menyetujui setiap pasangan alat pelanggan, dengan dukungan untuk granularitas per sumber daya yang membantu memenuhi prinsip menjaga agar pengguna tetap terkendali.

• Pendaftaran Server Pusat: Hanya server MCP yang memenuhi kriteria keselamatan dasar yang akan tersedia di Windows Registry, memastikan kemampuan untuk menemukan tanpa mengorbankan kepercayaan.

• Isolasi Waktu Eksekusi: Persyaratan server MCP akan menerapkan prinsip hak istimewa yang lebih rendah yang diterapkan melalui mekanisme seperti isolasi dan izin granular. Ini akan membuat pengguna mengendalikan hak istimewa mana yang diberikan kepada server MCP melalui model deklaratif dan membatasi “radius ledakan” dari segala kemungkinan serangan pada server MCP tertentu.

Persyaratan Keamanan Server MCP

Server MCP akan diminta untuk memenuhi serangkaian persyaratan keamanan dasar untuk muncul dalam catatan server MCP Windows 11 yang mencakup:

1. Tanda Tangan Kode Wajib Untuk Membuat Asal dan Mengaktifkan Pencabutan
2. Definisi alat server tidak dapat diubah dalam waktu eksekusi
3. Tes keamanan antarmuka yang terbuka
4. Identitas paket wajib
5. Server harus menyatakan hak istimewa yang membutuhkan

Ini akan menghindari kelas serangan seperti keracunan untuk alat sambil menciptakan ekosistem server MCP yang terbuka dan beragam. Informasi lebih lanjut tentang persyaratan ini akan tersedia ketika pratinjau pengembang diterbitkan. Persyaratan ini dapat berubah karena kita belajar lebih banyak melalui pandangan sebelumnya.

Pratinjau pengembang

Microsoft akan memberikan tampilan swasta awal sebelumnya tentang kapasitas server MCP setelah kompilasi Microsoft kepada pengembang hanya untuk tujuan umpan balik. Tampilan pribadi sebelumnya ini dapat mencakup kemampuan keamanan yang tidak dalam mode kepatuhan selama periode pribadi dari tampilan sebelumnya yang akan diaktifkan sebelum ketersediaan luas. Microsoft akan memberikan tampilan pribadi ini kepada pengembang dan akan mensyaratkan bahwa perangkat berada dalam mode pengembang untuk memastikan bahwa pengembang yang tepat dapat memanfaatkannya. Aplikasi yang aman secara default akan menjadi bagian dari peluncuran umum untuk pelanggan.

Melihat ke Masa Depan

Keamanan bukanlah karakteristik yang unik, itu adalah komitmen yang berkelanjutan. Saat kami memperluas kemampuan MCP dan agen lainnya, kami akan terus mengembangkan pertahanan kami. Dari isolasi cepat dan validasi LLM ganda hingga penerapan kebijakan waktu eksekusi dan aksesori firewall, peta jalan kami dirancang untuk tetap berada di garis depan kurva ancaman. Kami juga bekerja dengan orang lain di ekosistem, seperti Anthrope dan Komite Pengarah MCP untuk membantu MCP memenuhi kebutuhan keamanan yang berkembang dengan Innovation Continuous Agent. Untuk informasi lebih lanjut, lihat: Microsoft Build 2025: Usia agen AI dan konstruksi Jaringan Agen Terbuka.

Di Microsoft, kami percaya bahwa kepercayaan adalah dasar dari inovasi. Dengan mengubah keamanan menjadi nukleus platform agen kami, masa depan AI di Windows tidak hanya kuat, tetapi juga aman.