Blank white background with no objects or features visible.

تعلن TrueFoundry عن استحواذها على Seldon AI، موسعة بذلك لوحة التحكم الخاصة بها للذكاء الاصطناعي للمؤسسات. البيان الصحفي الكامل →

قضايا أمن MCP: المخاطر الخفية التي يجب على الشركات معالجتها

By أشيش دوبي

Published: July 4, 2026

TrueFoundry MCP gateway addresses enterprise MCP security risks in production deployments

مع توسع الشركات في نشر وكلاء الذكاء الاصطناعي، تصبح البنية التحتية التي تربط النماذج بالأدوات الواقعية حدودًا أمنية بالغة الأهمية. يقع بروتوكول سياق النموذج (MCP) في صميم هذا التحول، مما يتيح تفاعلات منظمة بين الوكلاء ومصادر البيانات والأنظمة الخارجية. بينما يسرع التكامل والتنسيق، فإنه يقدم أيضًا طبقة جديدة من المخاطر التي بدأت العديد من المؤسسات للتو في فهمها.

تكمن مخاطر أمن بروتوكول سياق النموذج (MCP) في الفجوة بين سرعة التبني والجاهزية الأمنية. يوحد بروتوكول السياق طريقة اتصال وكلاء الذكاء الاصطناعي بالأدوات ومصادر البيانات. لكنه لا يفرض كيفية تأمين هذه الاتصالات. المصادقة والتحكم في الوصول وتسجيل التدقيق ليست مدمجة فيه. يتعين على المؤسسات إضافة هذه الطبقة بأنفسها، ومعظمها لم يفعل ذلك.

يغطي هذا الدليل ماهية مخاطر أمن بروتوكول سياق النموذج (MCP) بالفعل، ونقاط الضعف المحددة التي تؤثر على عمليات نشر الشركات حاليًا، ولماذا لا تستطيع أدوات أمان التطبيقات التقليدية التعامل معها، وكيف يبدو النشر الخاضع للحوكمة السليمة في الممارسة العملية.

Agents Acting on Your Infrastructure Need More Than a Protocol to Stay Safe

TrueFoundry's MCP Gateway adds OAuth identity injection, schema validation, and PII redaction to every agent tool call

ما هي مخاطر أمن بروتوكول سياق النموذج (MCP)؟

مخاطر أمن بروتوكول سياق النموذج (MCP) هي نقاط ضعف تظهر عندما يقوم وكلاء الذكاء الاصطناعي بالمصادقة والترخيص وتبادل البيانات عبر خوادم بروتوكول سياق النموذج (MCP) دون طبقة حوكمة ثانوية. بينما يحدد البروتوكول كيفية تنسيق الرسائل وتبادلها بين العملاء والخوادم، فإنه لا يتطرق إلى تطبيق الأمن.

عندما تقوم الفرق بنشر خوادم بروتوكول سياق النموذج (MCP) دون ضوابط خارجية، فإنها تخلق "أبوابًا مفتوحة" في بنيتها التحتية:

  • طلبات غير موثقة: خوادم تقبل التعليمات دون تأكيد هوية المتصل.
  • استدعاءات أدوات غير مصرح بها: خوادم تنفذ إجراءات (مثل حذف البيانات) دون التحقق مما إذا كان الوكيل مسموحًا له بذلك.
  • اختراقات غير مرئية: نقص في سجلات التدقيق يترك فرق الأمن في حيرة عندما يحدث خطأ ما.

اكتشفت تريند مايكرو مؤخرًا 492 خادم بروتوكول سياق النموذج (MCP) مكشوفة للإنترنت بدون أي مصادقة. يعكس هذا النمط اتجاهًا خطيرًا: تبني بروتوكول لقدراته بسرعة عالية دون استثمار موازٍ في الحوكمة.

تزيد التكوينات الخاطئة المشكلة تعقيدًا. مع قيام الفرق بإنشاء المزيد من الخوادم عبر البيئات السحابية، فإنها تنقل الإعدادات الافتراضية التي كانت مناسبة للتطوير المحلي إلى بيئة الإنتاج. سلوك وكلاء الذكاء الاصطناعي غير المراقب يفعل البقية. الفجوة الهيكلية بين ما يوفره البروتوكول وما تتطلبه عمليات النشر في بيئة الإنتاج هي المكان الذي يجد فيه الفاعلون الخبيثون طريقهم.

MCP security risks showing authentication and access control gaps

قضايا أمن بروتوكول سياق النموذج (MCP) الأساسية التي تهدد الشركات

بروتوكول سياق النموذج يعمل كطبقة نقل بحتة، وليس كإطار أمان مدمج. بينما يوحد كيفية اتصال أنظمة الذكاء الاصطناعي بالأدوات والبيانات الخارجية، فإنه يترك الحماية بالكامل للبنية التحتية المحيطة. 

نتيجة لذلك، عندما تكون هذه الضوابط ضعيفة أو مفقودة، تميل عمليات نشر الشركات إلى كشف أربع فئات متكررة من مخاطر الأمن.

وصول الخادم بصلاحيات مفرطة

يقوم المطورون بتهيئة خوادم MCP بصلاحيات واسعة خلال مرحلة النماذج الأولية لتجنب أخطاء التفويض، مما ينتهك مبدأ الحد الأدنى من الامتيازات. ونادرًا ما يتم تقليص نطاق هذه الصلاحيات قبل مرحلة الإنتاج.

على سبيل المثال، قد يحمل وكيل ذكاء اصطناعي مصمم لتلخيص تذاكر Jira بيانات الاعتماد اللازمة لحذفها، أو إغلاق المشاريع، أو تعديل الصلاحيات إذا تم تهيئة الخادم الأساسي بوصول إداري ولم يتم تقييده أبدًا.

عندما يخترق مهاجم أو تعليمات محقونة هذا الوكيل، فإنهم يرثون النطاق الكامل لما يمكن للخادم فعله. يتحدد مدى الضرر بمدى الإفراط في توفير التحكم في الوصول، وليس بما كان من المفترض أن يفعله الوكيل بالفعل.

حقن الأوامر المؤدي إلى إجراءات غير مصرح بها

يختلف حقن الأوامر في بيئات MCP عن التلاعب الأساسي بالروبوتات الدردشة. فعندما يتمكن وكيل الذكاء الاصطناعي من تنفيذ الإجراءات، فإن التعليمات المحقونة لا تنتج مجرد استجابة سيئة، بل تؤدي إلى عمليات حقيقية ضد أنظمة خارجية.

يدمج الفاعلون الخبيثون تعليمات داخل المستندات، أو تذاكر الدعم، أو رسائل البريد الإلكتروني، أو صفحات الويب التي يعالجها الوكيل. ويُعد حادث Supabase Cursor في يونيو 2025، حيث قام وكيل ذكاء اصطناعي يتمتع بوصول دور الخدمة بمعالجة تذاكر الدعم التي تحتوي على تعليمات SQL، مثالًا واضحًا. فقد قرأ وسرب رموز التكامل إلى موضوع عام. لم يكن هناك اختراق للشبكة. لم يكن هناك برامج ضارة. مجرد نص تعامل معه الوكيل كأمر.

اتبع حادث GitHub MCP في مايو 2025 نفس النمط: حقن أوامر غير مباشر في المشكلات العامة أدى إلى تسريب رمز المستودع الخاص. 

لهذا السبب، يصنف OWASP Top 10 للنماذج اللغوية الكبيرة حقن الأوامر كأحد أهم الثغرات الأمنية، مما يجعله الخطر الأمني الرئيسي لـ MCP الذي يجب على الشركات معالجته على مستوى البنية التحتية. 

تزوير طلبات من جانب الخادم (SSRF) وتسريب البيانات

تقع خوادم MCP في عمق الشبكات المؤسسية حيث يمكنها الوصول إلى قواعد البيانات الداخلية وأنظمة الملفات والبنية التحتية السحابية. هذا الموقع هو ما يجعلها مفيدة. وهو أيضًا ما يجعل SSRF خطيرًا عندما أمان MCP تكون الضوابط غائبة.

قامت BlueRock Security بتحليل أكثر من 7000 خادم MCP ووجدت أن 36.7% منها كانت عرضة لـ SSRF. وفي إثبات المفهوم الخاص بهم ضد خادم MarkItDown MCP من Microsoft، استرجع الباحثون مفاتيح AWS IAM API، والمفاتيح السرية، ومفاتيح SSH مباشرة من نقطة نهاية بيانات تعريف مثيل EC2. لقد جلب الخادم عناوين URL عشوائية دون التحقق من صحتها.

لا يحتاج وكيل ذكاء اصطناعي مخترق يستخدم خادمًا عرضة لـ SSRF إلى اختراق محيطك مباشرة. بل يوجه الخادم لجلب الموارد الداخلية ويكشف البيانات الحساسة من خلال استجابة صادرة. ومن هناك، يمكن للفاعلين الخبيثين رسم خرائط البنية الداخلية والعثور على نقاط دخول إضافية.

للحصول على تفصيل أعمق للأدوات واستراتيجيات التخفيف، ارجع إلى دليلنا حول أفضل أدوات أمان MCP.

انتشار بيانات الاعتماد المجزأة

بدون بوابة مركزية، يدير كل وكيل ذكاء اصطناعي بيانات اعتماده الخاصة. تعيش مفاتيح API في متغيرات البيئة. يتم تخزين رموز OAuth في ملف التكوين. تتراكم الأسرار الثابتة طويلة الأمد عبر الخوادم لأن تدويرها يتطلب تتبع كل مكان توجد فيه.

أظهرت الثغرة الأمنية CVE-2025-6514 في mcp-remote، وهو وكيل OAuth بأكثر من 558,000 عملية تنزيل، البعد الخاص بسلسلة التوريد لمخاطر أمان MCP. يمكن لخادم MCP خبيث إرسال عنوان URL تفويض مصمم خصيصًا يقوم mcp-remote بتمريره مباشرة إلى غلاف النظام، مما يحقق تنفيذ التعليمات البرمجية عن بعد ويكشف كل بيانات الاعتماد على تلك الآلة.

تخزن العديد من خوادم MCP رموز الخدمة في نص عادي أو ذاكرة. يؤدي الخادم المخترق الواحد إلى تسريب كل رمز يحتفظ به. عندما تكون بيانات الاعتماد مبعثرة، لا يوجد مكان واحد لتغييرها ولا توجد طريقة موثوقة للتحقق مما إذا كان التغيير قد اكتمل.

Comparing API Security vs Agentic Protocol (MCP)

التأثير التشغيلي لثغرات الوكيل

كان لدى فرق الأمن التي تعاملت مع اختراقات استدعاءات واجهة برمجة التطبيقات التقليدية مسارات واضحة للتحقيق الجنائي. كان هناك طلب وارد. تم تسجيله. كان بإمكانك تتبع ما حدث. MCP يكسر هذا النموذج.

لا تترك هجمات حقن الأوامر غير المباشرة بصمة واضحة. تصرف وكيل الذكاء الاصطناعي تمامًا كما تشير سجلاته: لقد قرأ مستندًا ونفذ استدعاء أداة. حقيقة أن المستند يحتوي على أوامر ضارة غير مرئية لأدوات المراقبة التي تراقب فقط أنماط الشبكة الشاذة.

تسميم الذاكرة يزيد الأمر سوءًا. وثق الباحثون هجمات حيث يؤدي حقن التعليمات البرمجية الضارة في سياق الوكيل عبر تفاعلات متعددة إلى تغيير سلوك الوكيل تدريجيًا دون أن يبدو أي تفاعل واحد مشبوهًا. الـ مشروع MCP المعرض للخطر، الذي يشرف عليه 32 باحثًا من SentinelOne وSnyk وTrail of Bits وCyberArk، يتتبع الآن 50 ثغرة أمنية عبر نظام MCP البيئي، 13 منها حرجة.

الـ تقرير سيسكو عن حالة أمن الذكاء الاصطناعي لعام 2026 وجد أن 29% فقط من المؤسسات تشعر بأنها مستعدة لتأمين تطبيقات الذكاء الاصطناعي الوكيلية. بينما 71% الأخرى تشغل وكلاء ذكاء اصطناعي لا يمكنها مراقبتهم بشكل صحيح، مما يخلق مخاطر أمنية كبيرة عبر مصادر بياناتها الخارجية واتصالات الوصول إلى نظام الملفات.

Essential security best practices to follow

لماذا تفشل أدوات الأمان التقليدية

تطبق معظم الشركات أولاً البنية التحتية الأمنية الحالية على عمليات نشر MCP. وهذا لا ينجح، وفهم السبب مهم قبل اختيار ما سيحل محله.

بوابات واجهة برمجة التطبيقات القديمة تفتقر إلى السياق الدلالي

تفحص بوابات واجهة برمجة التطبيقات التقليدية حركة مرور HTTP. وتتحقق من الرؤوس، وتفرض تحديد المعدل، وتتحقق من رموز المصادقة على طبقة النقل. لا يمكنها قراءة محتويات حمولة إدخال المستخدم لتحديد ما إذا كانت التعليمات التي تحتويها مشروعة أم محقونة.

مهمة وكيل ذكاء اصطناعي تؤدي إلى 20 استدعاء أداة متسلسل، عند عرضها على مستوى الشبكة، تبدو وكأنها 20 طلب HTTP مصادق عليه. لم يتجاوز أي منها عتبة تحديد المعدل. ولم يفشل أي منها في فحوصات الرأس. ترى البوابة حركة مرور نظيفة طوال الوقت. حدث حقن الأوامر غير المباشر على بعد ثلاث طبقات، داخل مستند عالجه الوكيل.

تعد كتابة برمجيات وسيطة مخصصة لجعل البوابات القديمة واعية بمساعد الذكاء الاصطناعي طريقًا مسدودًا. فهي تتطلب صيانة مستمرة مع تطور سلوك الوكيل، مما ينتج عنه تغطية هشة يمكن للجهات الخبيثة إيجاد طرق للتحايل عليها. 

منصات الذكاء الاصطناعي كخدمة (SaaS) تُدخل مخاطر خروج البيانات

تحل منصات تنسيق تطبيقات الذكاء الاصطناعي المدارة مشكلة النشر ولكنها تخلق مشكلة أخرى. عندما يتم توجيه حركة مرور MCP الداخلية عبر طبقة SaaS تابعة لجهة خارجية لتطبيق ضوابط الأمان، تغادر بياناتك الخاصة، والبيانات الخارجية، وطلبات الأدوات، ومخرجات وكيل الذكاء الاصطناعي محيط شبكتك مع كل تفاعل.

بالنسبة لمؤسسات الرعاية الصحية أو الخدمات المالية أو الحكومية، يعد ذلك انتهاكًا للامتثال بغض النظر عما إذا كان بائع SaaS موثوقًا به أم لا. لا تسمح HIPAA بمرور معلومات الرعاية الصحية المحمية (PHI) عبر بنية تحتية غير معتمدة تابعة لجهة خارجية. تتطلب اللائحة العامة لحماية البيانات (GDPR) تحكمًا قابلاً للإثبات في مكان تدفق بيانات المستخدم. طبقة توجيه SaaS تكسر كلا الأمرين.

تميل هذه المنصات أيضًا إلى حجب الميزات التي تحتاجها بالفعل — ضوابط أمنية قوية بما في ذلك التحكم في الوصول المستند إلى الدور (RBAC)، وتسجيل التدقيق، والتحكم في الوصول لكل أداة — خلف مستويات تسعير المؤسسات. يعتمد الوضع الأمني الذي يمكنك الحفاظ عليه على مستوى عقدك. 

Your Security Team Deserves Full Visibility Into Every Agent Tool Call

Get OpenTelemetry-compliant audit trails, tool-level RBAC, and compliance-ready logging

كيف تحل TrueFoundry مشكلات أمان MCP؟

يعتمد نهج TrueFoundry لأمان MCP على فرض ضوابط الأمان على طبقة البنية التحتية، داخل بيئتك، وليس عبر توجيهها من خلال بيئة طرف آخر. يتم نشر بوابة MCP بالكامل داخل حسابك على AWS أو GCP أو Azure. 

يبقى كل طلب من وكيل الذكاء الاصطناعي، واستدعاء أداة، وتفاعل نموذج ضمن حدود شبكتك، مما يعالج مخاطر أمنية كبيرة ناجمة عن الوصول إلى الأنظمة الخارجية واسترجاع البيانات دون استثناءات الامتثال. 

بوابة مُدارة داخل شبكتك الافتراضية الخاصة (VPC)

تبقى جميع حركة مرور MCP داخل محيطك. لا يتم توجيه أي طلبات اكتشاف أو حمولات أدوات أو مخرجات وكلاء الذكاء الاصطناعي عبر بنية تحتية خارجية. هذا يلغي مخاطر خروج البيانات التي تأتي مع المنصات الموجهة عبر SaaS ويلبي متطلبات إقامة مصادر البيانات للصناعات الخاضعة للتنظيم دون عمليات استثناء أو ضوابط تعويضية.

تعالج Innovaccer حوالي 17 مليون طلب استدلال للذكاء الاصطناعي شهريًا عبر سير العمل السريري بموجب HIPAA، وتعمل بالكامل داخل بيئة AWS GovCloud الخاصة بهم. يبقى كل تفاعل ضمن حدود سحابتهم. أدلة التدقيق موجودة في سجلاتهم الخاصة، جاهزة لأي مراجع يطلبها. هذا ما تبدو عليه أفضل ممارسات أمان MCP على نطاق المؤسسات.

فرض التحكم في الوصول المستند إلى الدور (RBAC) لكل خادم

يتم فرض سياسات التحكم في الوصول على مستوى الأداة قبل أن تصل الطلبات إلى أي نموذج أو خادم MCP، مما يطبق أفضل ممارسات أمان MCP من خلال بوابة TrueFoundry للذكاء الاصطناعي. يرى وكيل الذكاء الاصطناعي لدعم العملاء أدوات البحث في CRM. ولا يرى عمليات الكتابة في قاعدة البيانات. يمكن لوكيل مالي الاستعلام عن سجلات الدفع ولكن لا يمكنه بدء تحويلات خارجية.

تتكامل TrueFoundry مع Okta و Azure AD وإعدادات SSO المخصصة. يرث وكلاء الذكاء الاصطناعي الأذونات الدقيقة للمستخدم الطالب من خلال OAuth 2.0 تدفقات "بالنيابة عن". لا توجد حسابات خدمة مشتركة. يُنسب كل استدعاء أداة إلى هوية بشرية محددة، مما يحل مشكلة الوكيل المربك التي تجعل اعتماد MCP في الصناعات المنظمة أمرًا صعبًا للغاية.

إمكانيات تسجيل التدقيق الكاملة

يتم تسجيل كل طلب ببيانات وصفية كاملة: هوية المستخدم، هوية وكيل الذكاء الاصطناعي، النموذج، الأداة، الوسائط، الاستجابة، زمن الاستجابة، التكلفة، وأي سياسة مطبقة. السجلات منظمة، ويتم الاحتفاظ بها في بيئتك الخاصة، وقابلة للتصدير بتنسيق JSON للتكامل مع Grafana أو Splunk أو Datadog أو أي خط أنابيب مراقبة موجود.

تستخدم Innovaccer مخرجات OpenTelemetry من TrueFoundry لتغذية لوحات معلومات Grafana في بيئة الإنتاج. عندما يطلب مدقق SOC 2 دليلاً على التحكم في الوصول أو يتطلب مراجعة HIPAA إثباتًا لمعالجة المعلومات الحساسة، فإن الإجابة موجودة في سجلاتهم الخاصة ويمكن تقديمها على الفور، دون الاعتماد على منصة طرف ثالث للحصول على أدلة أمان MCP.

تجريدات الخادم الافتراضي

تقع تطبيقات أدوات الواجهة الخلفية خلف طبقة تجريد افتراضية في السجل، مما يحمي من مخاطر أمن سلسلة التوريد الخاصة بـ MCP. عندما تتغير الخدمة الأساسية لأداة ما، أو عندما تحتاج نسخة أداة MCP مخترقة إلى الاستبدال، يحدث التغيير على مستوى السجل دون المساس بأي وكيل ذكاء اصطناعي يعتمد عليها.

يعالج هذا أيضًا مشكلة تسميم الأدوات. يتم التحكم في إصدار تعريفات الأدوات عبر السجل. يمكن اكتشاف الأداة التي تغير بيانات وصفها الوصفية بصمت بعد التثبيت، لأن السجل يحتفظ بسجل لما كانت عليه كل أداة عند التسجيل، مما يغلق مخاطر أمن MCP التي تنشأ عن النوايا الخبيثة في المكونات المجتمعية لـ MCP.

الـ بوابة وكيل TrueFoundry يوسع هذه الحماية لتشمل سير عمل الوكلاء المتعددين، ويفرض التحكم في الوصول لكل وكيل وقواطع الدائرة التي توقف الإجراءات غير المقصودة قبل أن تتسلسل عبر نظام MCP البيئي بأكمله.

TrueFoundry MCP gateway architecture with governed security controls inside VPC

الخلاصة: إرساء الحوكمة للتخفيف من المخاطر

تم بناء MCP لجعل وكلاء الذكاء الاصطناعي أكثر قدرة. لم يكن الأمن جزءًا من التصميم الأصلي. هذه الفجوة هي حيث تكمن مخاطر الشركات الآن، وهي لا تُغلق من تلقاء نفسها. بين يناير وفبراير 2026، قدم الباحثون 30 CVE ضد بنية MCP التحتية في 60 يومًا. نما البروتوكول أسرع من الممارسات الأمنية المحيطة به.

سد هذه الفجوة يعني إضافة الضوابط التي لا يتضمنها البروتوكول: التحقق من الهوية عند كل اتصال، والتحكم في الوصول على مستوى الأداة، والإدارة المركزية لبيانات الاعتماد، والموافقة البشرية على العمليات التدميرية، وسجلات التدقيق المنظمة التي يتم الاحتفاظ بها داخل بيئتك الخاصة.

TrueFoundry يوفر هذا الأساس. الحوكمة مدمجة في المنصة، وليست بسعر إضافي. تبقى بياناتك في سحابتك. سجل التدقيق الخاص بك ملكك. ويمكنك الانتقال من مجموعة مجزأة من خوادم MCP إلى مستوى تحكم محكوم وقابل للتدقيق دون إعادة بناء بنية وكيلك من الصفر.

احجز عرضًا توضيحيًا اليوم للبدء.

The fastest way to build, govern and scale your AI

Sign Up
Table of Contents

One Gateway for Every LLM, Agent and MCP Server

Book a 30-min with our AI expert

Book a Demo

The fastest way to build, govern and scale your AI

Book Demo
Summarize with
ChatGPT logo by OpenAI
Perplexity AI logo
Blurry red snowflake on white background, symmetrical frosty design with soft edges and abstract shape.

Discover More

No items found.
July 4, 2026
|
5 min read

تكاملات منصة التعلم الآلي #1: Weights & Biases

Use Cases
Engineering and Product
July 4, 2026
|
5 min read

تكامل Pillar Security مع TrueFoundry

No items found.
July 4, 2026
|
5 min read

التخزين المؤقت الدلالي لنماذج اللغة الكبيرة (LLMs): تقليل التكلفة وزمن الاستجابة بما يتجاوز التخزين المؤقت للبادئات

No items found.
July 4, 2026
|
5 min read

تكاملات أدوات التعلم الآلي #2 DVC لإدارة إصدارات بياناتك

Engineering and Product
Use Cases
No items found.

Recent Blogs

Black left pointing arrow symbol on white background, directional indicator.
Black left pointing arrow symbol on white background, directional indicator.

Frequently asked questions

What are the problems with MCP security?

The core MCP security problem is a model context protocol that defines how AI agents communicate with MCP tools but provides no native enforcement of strong authentication, access control, or audit logging. 

Without a governance layer, MCP security risks include servers running without authentication and AI agents operating with excessive permissions. The Vulnerable MCP Project currently tracks 50 vulnerabilities across the MCP ecosystem, with 38% to 41% of surveyed implementations having no authentication at all.

How do prompt injections exploit MCP vulnerabilities?

Prompt injection works by embedding malicious prompts inside content an AI agent processes: a document it summarizes, an email it routes, or a web page it reads. The MCP client cannot reliably distinguish between external data and instructions, so it treats embedded directives as legitimate and executes them using its own access control credentials. 

In MCP environments, a successful indirect prompt injection can exfiltrate sensitive data, modify records, or trigger API calls to external systems, as demonstrated by the Supabase Cursor incident.

Why are third-party MCP servers considered a supply chain risk?

Most MCP servers are downloaded from public registries without systematic security review, creating supply chain MCP security risks. Trend Micro found 492 internet-exposed MCP servers with zero authentication. CVE-2025-6514 affected MCP-remote, a package with over 558,000 downloads. 

Any third-party MCP server pulled into your environment is a potential entry point for malicious code, API keys theft, or tool poisoning that compromises sensitive information at the MCP architecture layer.

How can enterprises enforce access control on MCP servers?

Effective MCP security requires identity-aware strong authentication, where every AI agent request is tied to a verified user identity; role-based access control at the tool level, so agents invoke only operations their role authorizes; and a centralized gateway enforcing MCP security best practices before requests reach any server. 

Platforms like TrueFoundry embed all three into the infrastructure layer, applying robust security consistently across every MCP connection without requiring custom security controls code on each MCP server individually.

Why is traditional API security insufficient for AI agents?

Traditional API gateways operate at the transport layer and enforce rate limiting on HTTP headers. They cannot parse user inputs payloads or determine whether a tool call was triggered by a legitimate instruction or command injection buried in a document. 

An AI agent executing twenty sequential tool calls through an SSRF-vulnerable server generates traffic that appears clean throughout. MCP security risks require controls that understand MCP components semantics, not just traffic patterns, which is the fundamental gap that artificial intelligence infrastructure security must address.

What role does an MCP gateway play in MCP security?

An MCP gateway sits between AI agents and the MCP servers they connect to, providing the MCP security enforcement layer the protocol does not include natively. A governed gateway handles identity verification, enforces RBAC at the MCP tool level so agents only access what they are authorized to, manages 

API keys centrally, filters user input for prompt-injection patterns, and logs every interaction with full metadata for security and compliance review. Without a gateway, MCP security risks are unaddressed across the entire MCP adoption deployment.

Take a quick product tour
Start Product Tour
Product Tour