mcp-fence – proxy de segurança que inspeciona em ambas as direções requisições e respostas de servidores MCP
(github.com/yjcho9317)Quando um agente de IA lê arquivos ou chama ferramentas por meio de um servidor MCP, a resposta retornada pelo servidor entra no contexto sem validação adicional. O mcp-fence é um proxy de segurança que inspeciona em tempo real tanto essas requisições quanto as respostas.
Ao criar o nworks (servidor MCP do NAVER WORKS), vivi essa estrutura na prática. Verifiquei 28 projetos de segurança para MCP no GitHub, e a maioria tinha uma arquitetura que inspeciona apenas o lado que envia, sem olhar para o que volta. Por isso, resolvi criar eu mesmo.
Depois de criar, executei eu mesmo uma auditoria de segurança. Consegui contornar completamente a detecção usando caracteres que parecem iguais aos olhos humanos, mas que o computador reconhece como diferentes; inseri caracteres transparentes invisíveis e passei por todas as verificações; e também encontrei um bug em que uma entrada especial fazia a própria inspeção de segurança parar. Corrigi tudo antes do lançamento. Entre 1.426 testes, 630 são testes adversariais de segurança, e a taxa de detecção é de 86% para 13 vulnerabilidades conhecidas de MCP. Com base no OWASP MCP Top 10, cobre 9 de 10 itens.
Detecta injection, secrets, PII e command injection, e também identifica rug-pull, quando a descrição da ferramenta é alterada sorrateiramente, por meio de hash pinning. A detecção é baseada em regex, então variações de expressão com o mesmo significado podem passar. A detecção semântica por ML está planejada para a linha v1.x.
Por exemplo, ao usar o servidor filesystem MCP, basta colocá-lo na frente.
npx mcp-fence start -- npx @modelcontextprotocol/server-filesystem /tmp
Funciona com essa única linha, sem necessidade de modificar o código do servidor existente. Por padrão, apenas registra logs e não bloqueia. Primeiro você pode verificar que tipo de tráfego está circulando e, se estiver tudo bem, mudar para o modo de bloqueio.
É um projeto feito sozinho em 10 semanas por um engenheiro com 9 anos de experiência em segurança mobile, então pode haver pontos a melhorar. Agradeço qualquer feedback.
Ainda não há comentários.