mcp-fence – MCP sunucusunun istek ve yanıtlarını çift yönlü inceleyen güvenlik proxy’si

Yapay zeka ajanları MCP sunucusu üzerinden dosya okuduğunda veya araç çağırdığında, sunucunun döndürdüğü yanıtlar ek bir doğrulama olmadan doğrudan bağlama girer. mcp-fence, hem bu istekleri hem de yanıtları gerçek zamanlı olarak inceleyen bir güvenlik proxy’sidir.

nworks’ü (NAVER WORKS MCP sunucusu) geliştirirken bu yapıyı bizzat deneyimledim. GitHub’da 28 MCP güvenlik projesini inceledim; çoğunun yalnızca giden tarafı denetlediğini, geri dönen tarafı ise kontrol etmediğini gördüm. Bu yüzden kendim yaptım.

Geliştirdikten sonra güvenlik denetimini bizzat çalıştırdım. İnsan gözüne aynı görünen ama bilgisayarın farklı karakter olarak algıladığı harflerle tüm tespitleri aşabildim, görünmeyen şeffaf karakterler ekleyerek bütün kontrollerden geçebildim ve özel girdilerle güvenlik denetiminin tamamen durmasına yol açan bir bug da buldum. Bunların hepsini yayına çıkmadan önce düzelttim. 1.426 testin 630’u adversarial güvenlik testlerinden oluşuyor ve bilinen 13 MCP zafiyetine karşı %86 tespit oranı sağlıyor. OWASP MCP Top 10’a göre 10 maddenin 9’unu kapsıyor.

Injection, secret, PII ve command injection tespit ediyor; ayrıca araç açıklamalarının gizlice değiştirilmesi anlamına gelen rug-pull saldırılarını da hash pinning ile yakalıyor. Tespitler regex tabanlı olduğu için aynı anlam farklı şekilde ifade edilirse geçebilir. ML tabanlı semantik tespit v1.x planında yer alıyor.

Örneğin filesystem MCP sunucusunu kullanıyorsanız, başına bunu eklemeniz yeterli.

npx mcp-fence start -- npx @modelcontextprotocol/server-filesystem /tmp  

Mevcut sunucu kodunu değiştirmeye gerek kalmadan bu tek satırla çalışır. Varsayılan olarak yalnızca log bırakır, engelleme yapmaz. Önce hangi trafiğin gidip geldiğini görebilir, ardından uygunsa engelleme moduna geçebilirsiniz.

Mobil güvenlikte 9 yıllık deneyime sahip bir mühendisin tek başına 10 haftada geliştirdiği bir proje olduğu için eksikleri olabilir. Geri bildirim verirseniz memnun olurum.