隨著人工智慧技術的不斷進步，自主型人工智慧（Agentic AI）在各種應用中變得日益普遍。然而，這類系統在運行過程中可能面臨眾多安全問題，尤其是在保護數據隱私、確保運行環境的完整性以及防止潛在的攻擊方面。

MCP（Model Context Protocol）工具的安全挑戰

• MCP 工具讓 AI agent 能自動執行任務，但也帶來新的安全風險，例如 agent 行為與用戶預期不符、執行未受控操作等。
• MCP 系統形成新的攻擊面，增加了軟體供應鏈威脅，對於信任、隔離與運行時控制提出了更高要求。

現有 MCP 安全缺陷

• 傳統 MCP 工具常直接從網路拉取 server 並在主機上執行，敏感憑證以明文環境變數傳遞，存在極大風險。
• 常見問題包括：
  • 難以驗證 MCP server 來源與完整性，無法確保未被竄改。
  • 憑證與存取權限管理不當，容易洩漏敏感資訊。
  • 缺乏針對新型攻擊（如 prompt injection、惡意 server 回應）的偵測機制。

新興威脅型態

• MCP Rug Pull：server 在用戶授權後更改工具描述，誘導 agent 執行未預期操作。
• MCP Shadowing：server 注入描述，改變 agent 與可信服務的互動方式。
• Tool Poisoning：在工具描述中隱藏惡意指令，AI 模型能讀取但用戶不易察覺。

因此，採用安全模型上下文協議（Securing Model Context Protocol）便成為了一個重要的解決方案。

這種協議旨在通過使用容器化技術，為自主型人工智慧提供一個安全的運行環境，從而降低潛在風險。

容器技術的解決方案

• 驗證 server 來源與內容完整性，降低供應鏈攻擊風險。
• 容器提供隔離、可攜性、一致性與可驗證性，能有效降低直接在主機執行不可信 MCP server 的風險。
• 容器化 MCP server 可：
• 將運行環境與主機隔離，限制攻擊範圍。
• 強化最小權限原則，僅允許必要資源存取。

容器技術允許開發者將應用及其依賴項封裝在一個輕量化的、獨立的運行環境中，這樣即使應用中的某個部分受到攻擊，整個系統的安全性仍然不會受到威脅。

安全設計與最佳實踐

• 機密資料（如 API 金鑰、OAuth token）應只注入到授權的容器內，避免外洩。
• 建議所有 MCP client 流量經由單一 MCP Gateway（或 proxy）統一檢查，集中偵測 Rug Pull、Shadowing、Poisoning 等威脅。
• 工具描述中應加入如 readOnlyHint、destructiveHint 等註記，便於容器在運行時自動加強安全限制（如只讀掛載、網路隔離）。

在這個協議中，首先會建立一個安全的模型上下文，確保人工智慧系統的運行環境是可信賴的。這包括驗證執行環境和確保數據的完整性。

然後，這些模型會在容器中運行，隨著每次運行都會提供隔離和控制，進一步增強了系統的安全性。 除此之外，協議還會定期審計運行過程中的操作與決策，從而提供一個透明的環境，讓開發者能夠及時發現潛在問題，並進行修正。

 Docker 的角色與新工具

• Docker 推出 MCP Catalog 與 MCP Toolkit，協助開發者安全發現、分享、運行 MCP server。
• MCP Catalog 集中管理受信任的 MCP server，Toolkit 則簡化運行、密鑰管理與存取控制。
• 所有 MCP server 以容器方式交付，透過 MCP Gateway 統一連接，實現單一威脅檢查點，增強安全性與可控性。

綜合來看，安全模型上下文協議與容器化技術的結合，讓自主型人工智慧的開發更加安全和高效。這不僅有助於保護用戶的數據，還能增強使用者對這些先進科技的信任和依賴。

隨著 MCP 工具從早期實驗走向大規模應用，安全問題日益突出。容器化是解決 MCP 安全與供應鏈風險的最佳實踐，Docker MCP Catalog 與 Toolkit 則為開發者提供了安全、易用的 MCP 工具發現與運行平台，推動 agentic AI 生態系健康發展。

來源連結：https://www.docker.com/blog/whats-next-for-mcp-security/