أمن الذكاء الاصطناعي للمؤسسات مع بوابة MCP وحواجز حماية وقت التشغيل
.webp)
Built for Speed: ~10ms Latency, Even Under Load
Blazingly fast way to build, track and deploy your models!
- Handles 350+ RPS on just 1 vCPU — no tuning needed
- Production-ready with full enterprise support
We conducted a webinar with the team at Palo Alto Networks with 400+ people joining from different regions and functions. Our goal at TrueFoundry was always to create infrastructure that supports your GenAI stack and we decided to pick up security as our next milestone. In this blog, we distill down all important key factors that we discussed and learnt during the webinar and boil it down to some key factors which will help you make decisions on scaling AI initiatives across your company. It’s a quick 6-7 min read, and also serves as a practical guide on AI Security that you can share with security leaders, platform teams, and AI builders.
From packets to prompts: the new perimeter is context and identity
Traditional security assumed that if an adversary couldn’t pass your firewall, they can't reach your sensitive data. Today, an engineer can paste snippets of source code into a chat to “fix a bug” and walk sensitive IP straight out the door, without any firewall being touched. In this world, context and identity become the new perimeters: who is asking, what are they asking for, and what data and tools are being pulled into that context?
It’s a fundamental shift in the threat model. Instead of blocking ports or hardening endpoints alone, we have to secure the language interface to systems and data, and everything that language can cause the system to do.
Why AI security feels different now?
Four failure modes show up first for most teams:
- Prompt injection & context tampering. Hidden instructions may be embedded in support tickets, SharePoint pages, lengthy chat histories, or retrieved documents and treated as valid context.
- Data leakage (exfiltration): Sensitive text can appear in prompts or outputs which includes PII, secrets, internal plans, even training artifacts.
- Toxic/off-brand content: Generations that fail company policy or brand guidelines.
- Confident hallucinations: Plausible-sounding but wrong assertions that drive real decisions.
If you want to learn more, OWASP's AI Top 10 is a solid map. In practice we have seen these four areas are where most programs begin.

What attendees told us live
We ran quick polls during the session. The top concern, by a wide margin: data leakage/exfiltration, followed by prompt injection and lack of observability into model and agent behavior. That aligns with what we see in enterprise rollouts: if you secure inputs and outputs first, and then make every interaction traceable, you have mostly covered what's needed for AI security
The five pillars of safe AI adoption
Here’s the short checklist we’ve seen work across industries:
- Authentication & Access Control: Don’t collapse everything behind a single shared model key. Preserve user/service identity end-to-end. Rotate keys. Avoid shared tokens.
- Input guardrails: Catch prompt injection, context tampering, and untrusted sources before they reach the model.
- Output guardrails: Block PII leaks, sensitive data egress, and toxic/off-brand text. Enforce “answer only if grounded in approved sources” for regulated workflows.
- Full observability: Trace every request: user identity, tool calls, model choice, parameters, cost, and guardrail decisions. No more shadow usage.
- Cost control & loop breakers: Agents can spiral out. Impose per-user and per-app budgets, loop detection, and hard circuit breakers. Reduce the blast radius from “one bad prompt.”
- Supply chain checks: Only use models and connectors you trust. Open-source isn’t automatically safe—check what you’re pulling before it runs in prod.
Why MCP raises the stakes
Now, LLMs no longer just talk—they can act. With the Model Context Protocol (MCP), agents discover tools and perform actions across GitHub, Jira, Slack, cloud APIs, internal systems, and more. That makes MCP a huge accelerator for developer productivity and a new class of risk. A poorly scoped agent can close 500 tickets overnight, exfiltrate data, or delete a branch because a sneaky instruction slipped in during a retrieval step.
Now you can see how the shift goes from “wrong answer” to “unauthorized actions”. Tools multiply both value and risk, so changes must be made to accommodate these.
What are the points to take care in an AI Gateway
When MCP enters the picture, elevate your baseline in these areas:
- Authentication & Authorization for MCP servers (who are you, what can you do).
- Granular access control (tool and operation level).
- Guardrails (input/output and tool-use policies).
- Observability (trace, attribute, audit).
- Rate limiting & quotas (per-user/app loop breakers).
- Supply chain security (vetted servers, signed artifacts, pinned versions).
Lets dig deep into some less talked about factors
- Guardrails in the traffic path:
The gateway sits between agents and tools/models and applies guardrails on both input and output. You can scope policies per user, per app, per model, per team, or via metadata. Typical checks:- Input: prompt injection, role escalation inside long conversations, malicious URLs/code in retrieved context.
- Output: DLP masking (SSNs/cards/tokens), toxicity and topic policies, grounding checks for regulated answer
- Input: prompt injection, role escalation inside long conversations, malicious URLs/code in retrieved context.
- Observability: trace, attribute, audit:
Without attribution and decision logs, you can’t investigate or prove enforcement. The AI gateway emits end-to-end traces (identity, prompt metadata, model parameters, every tool call with params/results, guardrail rule hits/decisions, and costs). Use the dashboards to answer:- Which agent is hammering code_executor—valid workload or malicious prompt?
- Why did ask_bot latency jump to 20s—API slowdown or recursive loop?
- Why is one tool eating 80% of calls—is it business-critical or just over-privileged?
- Rate limiting & budgets: loop breakers by design:
Agents can spiral. Treat budgets and QPS as security controls:- Per-user/app/tool quotas and per-minute caps to contain blast radius.
- Loop detection to trip a breaker on repeating patterns.
- Stricter caps for sensitive services (payments, customer data).
- Supply-chain integrity for MCP and models:
If you don’t vet servers, a “Slack MCP” could be a malicious package quietly shipping out chat logs, which is why organizations increasingly rely on AI code security tools alongside governance controls. Auto-updates can pull tampered versions. The governance answer is a vetted/curated registry, pinned versions, and signed artifacts—plus model scanning and red-team runs before production.
How TrueFoundry and Palo Alto helps you secure your GenAI infrastructure
Agents are most useful when they can call tools to get real work done. MCP standardizes how agents discover and invoke those tools. But power demands control. Our recommended pattern is a two-layer design:
- AI Gateway (control layer): The central place for routing, access control, rate limiting, key management, observability, and guardrails. This is the single proxy layer that all agent/model/tool traffic flows through. This is also where you centralize MCP server auth modes—No Auth (demo), Header/Bearer, and OAuth (Slack/GitHub/Atlassian), so every team doesn’t solve auth over and over.
- Security (validation layer): Runtime inspection, AI posture management, model scanning, and red-teaming, delivered via Palo Alto Networks Prisma AIRS, integrated inline with the gateway.

But why split control and validation?
Putting control in one place gives platform teams a great developer experience (one endpoint, unified SDKs, self-serve onboarding). Putting validation in its own layer gives security teams deep hooks and evidence (guardrail verdicts, DLP masking, URL/code inspection, and posture checks) without blocking developer velocity.
Three-layer authorization
Our CTO Abhishek walkthroughs a simple model for MCP authorization within TrueFoundry's AI Gateway:
- Who are you? The gateway verifies the human or service identity (e.g., via your IdP token) at ingress.
- What can you do? The gateway enforces policy to the specific MCP server and tool/operation (“read PRs”/“comment PRs,” but “no branch delete”).
- How do we prove it downstream? The gateway does token translation to exactly what the target server expects (swap to Slack/GitHub OAuth, or a short-lived header token).
This “3-layer authN/Z” pattern removes one-off secrets, keeps attribution, and prevents over-privileged bots from doing irreversible damage.
Example: A PR-review agent can list PRs and leave comments, but AI gateway policy denies branches.delete even if a prompt tries “also delete main after summarizing.” The denial—and the identity behind the attempt—are logged.

Virtual MCP servers
We also covered what are virtual MCP servers. In short, don’t hand agents the entire Jira/GitHub/Confluence catalogs. Compose a Virtual MCP that exposes just what the workflow needs—for instance: Jira.create_issue, GitHub.create_pr, and Confluence.search_docs as a single Engineering MCP endpoint. You get cleaner prompts, faster approvals, and a smaller blast radius by design.
What the MCP gateway gives you
The best MCP gateways يعمل كلوحة تحكم ذكية بالسياسات بين الوكلاء والأدوات:
- مكان واحد للاكتشاف والتحكم بالوصول: سجّل خوادم MCP مرة واحدة. افرض من يحق له رؤية أي الأدوات.
- أذونات على مستوى الأداة وسجلات منسقة: اعرض فقط واجهة الأدوات المسموح بها لكل تطبيق أو لكل فريق.
- اختيار ذكي للأدوات: لا تمرر آلاف الأدوات إلى سياق موجه واحد.
- حدود معدل عالمية وحصص: احتواء الحلقات والتكاليف المتزايدة.
- تتبع موحد عبر الأدوات والنماذج: نسب كل إجراء إلى هوية بشرية أو خدمة، مع دليل على السياسة التي تم تفعيلها وأين.
إذا قارنت بين "بدون بوابة MCP" و "مع بوابة MCP"، فالفرق واضح: اتصالات مخصصة أقل، تدفقات مصادقة مركزية، إدارة مركزية لبيانات الاعتماد، مسارات تدقيق على مستوى المؤسسة، وكتالوج خوادم مدقق بدلاً من انتشار غير منظم للبرامج النصية.

كيف تعزز Palo Alto Prisma AIRS الحواجز الوقائية ضمن طبقة البوابة
- أمان وقت التشغيل: افحص الموجهات والمخرجات بحثًا عن حقن الموجهات، عناوين URL أو تعليمات برمجية ضارة، محتوى ضار، تهديدات خاصة بالوكلاء، والمزيد. افرض سياسات حماية البيانات (DLP) وإخفاء البيانات في الوقت الفعلي.
- إدارة الوضع الأمني للذكاء الاصطناعي (AI-SPM): اكتشف الأخطاء في التكوين مبكرًا وافرض أفضل الممارسات لخدمات النماذج والوكلاء.
- فرق الاختراق الأخلاقي: اختبر اختراق مسارات عمل الذكاء الاصطناعي الأصلية وقياس فعالية السياسات.
- فحص النماذج: اكتشاف الثغرات الأمنية داخل ملفات النموذج نفسها (إلغاء التسلسل، الأبواب الخلفية، البرامج الضارة).
- أمن الوكيل: راقب إساءة استخدام الأدوات وتسميم الاتصالات عبر الوكلاء.
يمكنك ضبط ملفات تعريف الأمان لكل تطبيق لتحقيق التوازن بين زمن الاستجابة والحماية، ويتم تسجيل جميع القرارات لأغراض التدقيق.

نظرة سريعة على العرض التوضيحي
لقد عرضنا وكيلًا يقوم بسرد طلبات السحب المفتوحة لزميل في الفريق وينبههم على Slack. يعرض التتبع كل خطوة — استدعاءات الأدوات، ومنطق النموذج، والتوقيت — وقرارات الحماية على طول الطريق. تُبرز لوحة المعلومات الأدوات التي تستهلك أكبر عدد من الاستدعاءات، وارتفاعات زمن الاستجابة، وأي سلوك يشبه الحلقات. هذا هو الفرق بين الأمل أن يكون الوكيل آمنًا ومعرفة أنه كذلك. يمكنك مشاهدته في رابط يوتيوب الذي أرفقناه لاحقًا في المدونة.

أسئلة أجبنا عليها مباشرة
"لماذا لا نستخدم بوابة API عادية فحسب؟"
لأن أعباء عمل الذكاء الاصطناعي تضيف متطلبات جديدة: ترجمة الرموز لكل أداة، والتحكم في الوصول المستند إلى الدور على مستوى الأداة (RBAC)، وحواجز حماية المدخلات/المخرجات، والتدقيق/التتبع الغني، والتوجيه الذكي للأدوات. البوابة التقليدية لا تعرف شيئًا عن المطالبات أو التتبعات أو دلالات النموذج/الأداة.
"هل يمكننا مراقبة الأدوات الحالية مثل ChatGPT أو بيئات التطوير المتكاملة السحابية (cloud IDEs)؟"
إذا كانت الأداة تسمح لك بتعيين وكيل أو نقطة نهاية نموذج مخصصة، فقم بتوجيهها عبر البوابة وطبق حواجز الحماية/المراقبة هناك. إذا لم توفر هذه التحكمات، فلا يمكنك إضافة فحص شفاف في المنتصف.
"كيف نتجنب الضبط الدقيق الضار؟"
راقب بياناتك: استبعد معلومات التعريف الشخصية (PII) والأسرار. تحقق من مصدر أي نموذج أساسي تستخدمه. افحص ملفات النموذج بحثًا عن سلوكيات مخفية قبل التدريب.
"هل يحصل المطورون على حزم تطوير البرامج (SDKs)؟"
يعمل عملاء MCP القياسيون فورًا. توفر Prisma AIRS خادمًا وحزمة تطوير برامج (SDK)، وتوفر البوابة مقتطفات جاهزة للنسخ واللصق للغات Python/TypeScript وأطر عمل الوكلاء الشائعة.
شاهد الجلسة كاملة
إذا فاتتك — أو إذا كنت تريد أن يلحق فريقا المنصة والأمن بالركب — إليك التسجيل:
يوتيوب: https://youtu.be/hWNV2v3C8SA
جربه وتحدث معنا
نقدم تجربة لمدة شهر واحد من MCP Gateway—متاح كخدمة برمجية (SaaS) أو مستضاف ذاتيًا. إذا كنت ترغب في مراجعة معمارية مدتها 30 دقيقة لمعايرة التكاليف، وزمن الاستجابة، وملفات تعريف الحماية، يسعدنا المساعدة. ستحصل على:
- إعداد وتأهيل مجانيان
- قناة خاصة على Slack/Teams للدعم
- الوصول إلى لوحات معلومات المراقبة وملفات تعريف الحماية المصممة خصيصًا لتطبيقاتك
شكر جزيل لفريق Palo Alto Networks لانضمامهم إلينا ولدفعهم عجلة أمن الذكاء الاصطناعي قدمًا.
الأسئلة الشائعة
ما هو أمن الذكاء الاصطناعي للمؤسسات؟
أمن الذكاء الاصطناعي للمؤسسات هو الإطار متعدد الطبقات من البروتوكولات والأدوات والسياسات المصمم لحماية نماذج الذكاء الاصطناعي وبيانات الشركات من التهديدات المتخصصة مثل حقن الأوامر وسرقة البيانات. يتضمن تطبيق ضوابط وصول صارمة ومراقبة في الوقت الفعلي لضمان بقاء تفاعلات النموذج آمنة ومتوافقة. تقوم TrueFoundry بمركزة هذه المتطلبات في مستوى تحكم واحد، مما يسمح للمؤسسات بإدارة الأمن عبر نماذج وأنظمة داخلية مختلفة دون زيادة التعقيد المعماري.
لماذا يعتبر أمن الذكاء الاصطناعي مهمًا للمؤسسات؟
يعد الحفاظ على أمن الذكاء الاصطناعي للمؤسسات أمرًا بالغ الأهمية لمنع التعرض العرضي للمعلومات الشخصية الحساسة (PII) والملكية الفكرية لمقدمي النماذج الخارجيين. بدون طبقة أمان مخصصة، تخاطر المؤسسات بعدم الامتثال التنظيمي والتعرض لهجمات الخصوم التي يمكن أن تعرض العملاء المستقلين للخطر. تعالج TrueFoundry هذه المخاوف من خلال نشر مكدس الذكاء الاصطناعي بالكامل داخل شبكة VPC الخاصة بك، مما يضمن الحفاظ على إقامة البيانات وأن كل استدعاء للأداة قابل للتدقيق والحوكمة بالكامل.
كيف تساعد حواجز حماية وقت التشغيل لبوابة MCP في أمن الذكاء الاصطناعي للمؤسسات؟
ضمن استراتيجية شاملة لأمن الذكاء الاصطناعي للمؤسسات، تعمل حواجز حماية وقت التشغيل لبوابة MCP كطبقة دفاع استباقية تفحص كل تفاعل في الوقت الفعلي. تقوم حواجز الحماية هذه تلقائيًا بحجب المعلومات الحساسة ومنع المدخلات الضارة قبل أن تصل إلى النموذج أو أنظمة الواجهة الخلفية الداخلية. تستخدم بوابة TrueFoundry حواجز الحماية هذه لفرض أذونات دقيقة على استخدام الأدوات، مما يوفر طبقة من الحماية الديناميكية التي تضمن عمل العملاء ضمن حدود آمنة ومحددة مسبقًا.
TrueFoundry AI Gateway delivers ~3–4 ms latency, handles 350+ RPS on 1 vCPU, scales horizontally with ease, and is production-ready, while LiteLLM suffers from high latency, struggles beyond moderate RPS, lacks built-in scaling, and is best for light or prototype workloads.
The fastest way to build, govern and scale your AI

















.png)
.webp)










.webp)






