Định danh tác nhân cho MCP: Giải pháp bảo mật từ Prefactor

Trong bối cảnh các tổ chức ngày càng áp dụng rộng rãi các tác nhân AI, câu hỏi nền tảng về "chiến lược tác nhân của chúng ta là gì?" vang vọng trong các phòng họp trên toàn cầu. Mặc dù tiềm năng gia tăng năng suất và đổi mới là rất lớn, nhưng tốc độ phát triển nhanh chóng trong hệ sinh thái Model Context Protocol (MCP) đã vượt quá khả năng thiết lập các tiêu chuẩn bảo mật cần thiết, tạo ra một bề mặt tấn công mới và đáng kể. Prefactor, một nền tảng định danh tác nhân, đã trực tiếp giải quyết lỗ hổng quan trọng này. Dựa trên các cuộc thảo luận sâu rộng với hàng trăm công ty, Prefactor nhận thức được sự cấp bách trong việc triển khai tác nhân AI, thừa nhận rằng cường độ đổi mới này, mặc dù ấn tượng, cũng mang lại rủi ro bảo mật đáng kể. Sứ mệnh của công ty là cung cấp lớp bảo mật và khả năng quản trị còn thiếu để đảm bảo rằng tiềm năng chuyển đổi của các tác nhân MCP có thể được thực hiện một cách an toàn và hiệu quả, ngăn chặn kịch bản "chim hoàng yến trong mỏ than" khi một triển khai MCP không an toàn dẫn đến một vi phạm bảo mật lớn.

Nhu cầu cấp thiết về định danh tác nhân trong MCP

Hiện trạng áp dụng MCP, mặc dù diễn ra rất nhanh, nhưng lại trình bày những lỗ hổng bảo mật đáng kể. Các doanh nghiệp đang phải đối mặt với một "cuộc hỗn loạn hoàn toàn" khi quản lý các tác nhân, thường gặp khó khăn ngay cả với những thực hành cơ bản như bảo mật các API keys trên các máy tính cá nhân. Điều này làm nổi bật một sự chênh lệch lớn giữa khả năng tiên tiến của các tác nhân AI và các biện pháp kiểm soát bảo mật còn non trẻ dành cho chúng. Prefactor xác định hai trường hợp sử dụng chính cho MCP mà việc định danh tác nhân là rất quan trọng:

1. MCP bên ngoài/KH: Điều này liên quan đến việc phơi bày các máy chủ và API MCP trực tiếp cho khách hàng, nhằm tạo ra giá trị trong các tương tác B2B và B2C. Mặc dù những giả định ban đầu tập trung vào lĩnh vực này, nhưng tốc độ đổi mới UI (ví dụ: trong Claude hoặc ChatGPT) để tích hợp các MCP đã chậm hơn so với các triển khai nội bộ, có thể hạn chế trải nghiệm người dùng và việc áp dụng.
2. MCP nội bộ/Lực lượng lao động: Prefactor xác định đây là cơ hội lớn nhất ngay lập tức, đặc biệt trong các ngành được quản lý chặt chẽ như ngân hàng, bảo hiểm và bất động sản. Những tổ chức này đang triển khai nhiều máy chủ MCP cho các trường hợp sử dụng đơn giản nhưng có tác động lớn—chẳng hạn, giảm đáng kể thời gian giao dữ liệu cho các nhân viên tuyến đầu. Tuy nhiên, "nội bộ" không có nghĩa là "an toàn"; các tác nhân nội bộ này vẫn yêu cầu kiểm soát và quản trị đạt tiêu chuẩn doanh nghiệp để ngăn chặn chúng mất kiểm soát.

Cả tác nhân bên ngoài và bên trong đều chia sẻ các yêu cầu cơ bản về sự tin cậy và quản lý. Các tổ chức cần kiểm soát ai (hoặc cái gì) có thể truy cập vào các API của họ, đảm bảo trách nhiệm và ngăn chặn các hành động không được phép. Nếu không có một lớp định danh riêng biệt, việc triển khai MCP có nguy cơ trở nên không thể quản lý và dễ bị tấn công bảo mật, làm suy yếu chính những lợi ích mà chúng hứa hẹn. Prefactor tự định vị mình như một "lớp bảo mật định danh tác nhân", được thiết kế để bảo mật, xác thực và kiểm toán các tác nhân trong cả hai tình huống.

Cách tiếp cận của Prefactor: Bảo mật, xác thực và kiểm toán các tác nhân AI

Prefactor giải quyết các thách thức về bảo mật và quản trị trong MCP thông qua một nền tảng định danh chuyên biệt. Các sản phẩm cốt lõi của nó bao gồm:

• Xác thực MCP: Đây là sản phẩm nền tảng của Prefactor, cung cấp xác thực mạnh mẽ được thiết kế đặc biệt cho các tương tác MCP.
• Giao diện trò chuyện với bảo mật tích hợp: Gần đây, Prefactor đã giới thiệu một giao diện trò chuyện mà tích hợp bảo mật MCP trực tiếp vào trải nghiệm chatbot, loại bỏ nhu cầu về một quy trình xác thực riêng biệt. Điều này cho phép luồng quy trình cấp phép tác nhân, phân công tin nhắn và tương tác an toàn diễn ra một cách liền mạch.

Các khái niệm và yếu tố khác biệt:

1. Định danh tác nhân như công dân hạng nhất: Triết lý cơ bản của Prefactor là coi các tác nhân như "công dân hạng nhất", tách biệt khỏi cả con người và máy móc. Điều này có nghĩa là phát triển một hệ thống định danh căn bản xoay quanh tác nhân, cấp cho chúng mức độ kiểm soát phù hợp tại thời điểm thích hợp, cuối cùng phát triển theo hướng kiểm soát truy cập dựa trên nhiệm vụ.
2. Tách biệt định danh con người và tác nhân: Nền tảng này tách biệt rõ ràng định danh của con người và tác nhân, ngay cả khi chúng tương tác hoặc liên kết với nhau. Sự phân biệt tinh vi này rất quan trọng cho việc kiểm toán và ủy quyền mạnh mẽ, cho phép áp dụng các chính sách cụ thể cho các tác nhân dựa trên vai trò và quyền hạn được giao. Ví dụ, trong một buổi demo, một người dùng có một định danh, trong khi một trợ lý (một tác nhân) kết hợp với người dùng lại có một định danh độc đáo của riêng nó trong Prefactor.
3. Nhật ký kiểm toán không thể thay đổi: Prefactor duy trì một nhật ký không thể thay đổi của tất cả các hoạt động của tác nhân, cung cấp một dấu vết minh bạch và có thể kiểm toán cho mọi yêu cầu và hành động. Nhật ký này bao gồm các payload đã ký (JWT) chứa cả định danh của người dùng và tác nhân, đảm bảo trách nhiệm và khả năng theo dõi.
4. Xác thực liền mạch đến các máy chủ MCP: Hệ thống này tạo điều kiện cho các kiểm tra xác thực liền mạch. Khi một tác nhân (hành động thay mặt cho một con người hoặc tự động) sử dụng một công cụ thông qua một máy chủ MCP, Prefactor truyền cả định danh của con người và tác nhân đến máy chủ MCP. Máy chủ MCP có thể đánh giá các định danh này theo các chiến lược ủy quyền đã được xác định trước để quyết định xem hành động đó có được phép hay không.
5. Tập hợp quy tắc có thể cấu hình: Backend của Prefactor cung cấp các tập hợp quy tắc có thể cấu hình cao cho việc xác thực, cách thức các tác nhân làm việc cùng nhau và tích hợp định danh con người. Nó cũng có thể bao quanh các Nhà cung cấp định danh hiện có (IDPs) để tích hợp liền mạch vào hạ tầng bảo mật doanh nghiệp hiện có.

Quy trình demo:

Buổi demo của Simon trình bày một giao diện trò chuyện nơi người dùng truy vấn số dư tài khoản. Tác nhân sử dụng một công cụ exchange để chuyển đổi Euro sang đô la Úc. Ở phía sau, payload yêu cầu được ký dưới dạng JWT, chứa định danh của người dùng trong Prefactor. Một tác nhân trợ lý, với định danh độc đáo của riêng nó, cũng thực hiện các hành động, và các yêu cầu của nó cũng được ký và ghi lại, tạo ra một chuỗi không thể thay đổi. Backend của Prefactor theo dõi riêng biệt các định danh của con người và tác nhân, thiết bị và phiên làm việc, nhưng liên kết khi cần thiết. Việc theo dõi tinh vi này cho phép các dấu vết kiểm toán chi tiết và các chính sách ủy quyền tinh vi.

Cách hoạt động: Nền tảng định danh tác nhân của Prefactor

Prefactor hoạt động như một nền tảng SaaS, với các sản phẩm hiện tại dựa trên đám mây và kế hoạch cho các triển khai tại chỗ hoặc đám mây riêng. Cốt lõi của nền tảng này là một hệ thống định danh cơ bản cung cấp bảo mật và xác thực "dưới bề mặt" mà thường khó để trình diễn.

Tổng quan kiến trúc:

• Hệ thống định danh tập trung: Prefactor duy trì một hệ thống định danh tập trung theo dõi rõ ràng các định danh của con người và tác nhân. Hệ thống này quản lý các thiết bị, phiên làm việc và các mối quan hệ giữa con người và các tác nhân của họ.
• Ký dựa trên JWT: Mọi yêu cầu hoặc hành động do một tác nhân hoặc một con người khởi xướng thông qua nền tảng Prefactor đều được ký bằng JSON Web Tokens (JWTs). Các JWT này bao gồm thông tin định danh quan trọng (người dùng, ID tác nhân) và là một phần của nhật ký không thể thay đổi.
• Tích hợp máy chủ MCP: Để các máy chủ MCP tận dụng bảo mật của Prefactor, chúng tương tác với hệ thống Prefactor để xác thực định danh và thực thi ủy quyền. Khi một tác nhân gọi một công cụ trên máy chủ MCP, định danh của tác nhân, cùng với định danh của người dùng (nếu có), được chuyển đến máy chủ, cho phép các quyết định ủy quyền theo thời gian thực.
• Chính sách có thể cấu hình: Backend của Prefactor cho phép các quản trị viên định nghĩa các tập hợp quy tắc có thể cấu hình cao cho việc xác thực và ủy quyền. Điều này bao gồm quản lý cách các tác nhân tương tác với nhau và với con người, và cách các IDP hiện có có thể được tích hợp.
• Dấu vết kiểm toán và quản lý phiên: Nền tảng cung cấp quản lý phiên toàn diện và các dấu vết kiểm toán, cho phép quan sát hoạt động trực tiếp của các tác nhân. Điều này cho phép các doanh nghiệp theo dõi hành vi của các tác nhân, theo dõi quyền truy cập tài nguyên và đảm bảo tuân thủ.

Tiến hóa giao thức MCP:

Prefactor dự đoán và đóng góp vào sự tiến hóa của đặc tả MCP, đặc biệt liên quan đến xác thực. Việc triển khai hiện tại của MCP OAUTH chủ yếu được hướng đến ủy quyền bên ngoài (ví dụ: kết nối với một hệ thống như Claude). Tuy nhiên, có một nhu cầu rõ ràng về các tính năng tập trung vào doanh nghiệp hơn, chẳng hạn như định danh khối lượng công việc và các cơ chế giảm thiểu sự khó khăn của người dùng trong các hệ thống nội bộ. Điều này bao gồm việc loại bỏ các màn hình đồng ý liên tục cho các kết nối tác nhân nội bộ và đảm bảo rằng định danh của người dùng được truyền đáng tin cậy qua nhiều hệ thống mà không bị thay đổi. Quan trọng là, khái niệm về một "định danh tác nhân" riêng biệt trong tiêu chuẩn MCP hiện đang thiếu nhưng đang được thảo luận tích cực trong các nhóm làm việc, và Prefactor đang làm việc "hơi đi trước nơi mà có thể MCP auth đang ở hôm nay" để giải quyết những nhu cầu mới nổi này.

Suy nghĩ của tôi

Nền tảng của Prefactor đại diện cho một đổi mới quan trọng và kịp thời trong bối cảnh đang mở rộng nhanh chóng của các tác nhân AI và Model Context Protocol. Sự hiểu biết cốt lõi rằng các tác nhân cần có định danh riêng biệt của chúng, tách biệt nhưng liên kết với người dùng, là một sự chuyển mình cơ bản giải quyết điểm mù lớn trong các mô hình bảo mật AI hiện tại. Cách tiếp cận truyền thống chỉ dựa vào xác thực người dùng cho các hành động của tác nhân là không đủ cho các triển khai đạt tiêu chuẩn doanh nghiệp, nơi tính khả thi kiểm toán, kiểm soát truy cập tinh vi và quản trị mạnh mẽ là điều tối quan trọng.

Sự nhấn mạnh vào một nhật ký kiểm toán không thể thay đổi, với các payload đã ký chứa cả định danh của con người và tác nhân, là một tính năng mạnh mẽ. Nó cung cấp sự minh bạch và trách nhiệm cần thiết cho các hoạt động của tác nhân, điều này là cần thiết cho sự tuân thủ trong các ngành được quản lý và cho việc gỡ lỗi các hệ thống đa tác nhân phức tạp. Cách tiếp cận chủ động này đối với bảo mật định vị Prefactor như một nhà lãnh đạo trong việc xác định các biên giới cho một tương lai an toàn của tác nhân.

Hơn nữa, sự tập trung chiến lược vào các triển khai MCP nội bộ/lực lượng lao động làm nổi bật một sự hiểu biết thực tế về nơi mà các doanh nghiệp đang thấy giá trị ngay lập tức và đồng thời, rủi ro ngay lập tức. Bằng cách cung cấp một nền tảng bảo mật cho các tác nhân nội bộ này, Prefactor cho phép các tổ chức khai thác những lợi ích về năng suất của AI mà không làm suy yếu tư thế bảo mật của họ. Tầm nhìn về xác thực giữa các tác nhân và một hệ thống cấp phép giao thoa là đầy tham vọng và hoàn toàn phù hợp với quỹ đạo tương lai của AI, nơi các tác nhân tự động và bán tự động sẽ ngày càng hợp tác. Khi tiêu chuẩn MCP tiến hóa, những đóng góp của Prefactor vào việc định hình các khía cạnh bảo mật và định danh của nó sẽ vô giá.

Lời cảm ơn

Xin chân thành cảm ơn Matt Doughty (CEO, Prefactor) và đồng sáng lập Prefactor vì bài thuyết trình và demo đầy ánh sáng về Định danh tác nhân cho MCP: Giải pháp bảo mật từ Prefactor cho các tác nhân AI có thể kiểm toán. Công việc của họ là rất quan trọng cho việc áp dụng MCP một cách an toàn, và chúng tôi cảm ơn cộng đồng MCP và AI rộng lớn hơn vì những nỗ lực liên tục của họ trong việc thúc đẩy lĩnh vực này.