KI-Sicherheit für Unternehmen mit MCP Gateway und Runtime Guardrails

Wir haben ein Webinar mit dem Team von durchgeführt Palo Alto Netzwerke mit über 400 Personen aus verschiedenen Regionen und Funktionen. Unser Ziel bei Wahre Gießerei Es ging immer darum, eine Infrastruktur zu schaffen, die Ihren GenAI-Stack unterstützt, und wir haben beschlossen, Sicherheit als nächsten Meilenstein zu betrachten. In diesem Blog fassen wir alle wichtigen Schlüsselfaktoren zusammen, die wir während des Webinars besprochen und gelernt haben, und reduzieren sie auf einige Schlüsselfaktoren, die Ihnen helfen werden, Entscheidungen zur Skalierung von KI-Initiativen in Ihrem Unternehmen zu treffen. Die Lektüre dauert 6 bis 7 Minuten und dient auch als praktischer Leitfaden zur KI-Sicherheit, den Sie mit Sicherheitsverantwortlichen, Plattformteams und KI-Entwicklern teilen können.

Von Paketen bis zu Eingabeaufforderungen: Der neue Perimeter ist Kontext und Identität

Traditionelle Sicherheitsvorkehrungen gingen davon aus, dass ein Gegner, der Ihre Firewall nicht passieren kann, Ihre sensiblen Daten nicht erreichen kann. Heute kann ein Techniker Quellcode-Schnipsel in einen Chat einfügen, um „einen Fehler zu beheben“, und sensible IP-Adressen direkt nach draußen schicken, ohne dass eine Firewall angetastet wird. In dieser Welt werden Kontext und Identität zu den neuen Grenzen: wer fragt, wonach fragen sie und welche Daten und Tools werden in diesen Kontext einbezogen?

Es ist eine grundlegende Veränderung des Bedrohungsmodells. Anstatt nur Ports zu blockieren oder Endgeräte abzusichern, müssen wir die schützen Sprachschnittstelle zu Systemen und Daten und allem, was die Sprache dazu veranlassen kann, das System zu tun.

Warum fühlt sich KI-Sicherheit jetzt anders an?

Vier Fehlermodi werden bei den meisten Teams zuerst angezeigt:

• Sofortige Injektion und Manipulation des Kontextes. Versteckte Anweisungen können in Support-Tickets, SharePoint-Seiten, lange Chatverläufe oder abgerufene Dokumente eingebettet und als gültiger Kontext behandelt werden.‍
• Datenleck (Exfiltration): In Eingabeaufforderungen oder Ausgaben kann sensibler Text erscheinen, der PII, Geheimnisse, interne Pläne und sogar Trainingsartefakte enthält.‍
• Giftiger oder markenfremder Inhalt: Generationen, die an der Unternehmenspolitik oder den Markenrichtlinien scheitern.‍
• Selbstbewusste Halluzinationen: Plausibel klingende, aber falsche Behauptungen, die zu echten Entscheidungen führen.
  

Wenn Sie mehr erfahren möchten, sind die AI Top 10 von OWASP eine solide Karte. In der Praxis haben wir gesehen, dass die meisten Programme in diesen vier Bereichen beginnen.

Was uns die Teilnehmer live erzählt haben

Wir haben während der Sitzung schnelle Umfragen durchgeführt. Das mit Abstand größte Problem: Datenlecker/Datenexfiltration, gefolgt von einer schnellen Injektion und mangelnder Beobachtbarkeit des Modells- und Agentenverhaltens. Das stimmt mit dem überein, was wir bei Rollouts in Unternehmen beobachten: Wenn Sie zuerst die Ein- und Ausgänge sichern und dann jede Interaktion rückverfolgbar machen, haben Sie das, was für die KI-Sicherheit erforderlich ist, größtenteils abgedeckt

Die fünf Säulen der sicheren Einführung von KI

Hier ist die kurze Checkliste, die unserer Meinung nach branchenübergreifend funktioniert:

• Authentifizierung und Zugriffskontrolle: Lassen Sie nicht alles hinter einem einzigen gemeinsamen Modellschlüssel zusammenfassen. Bewahren Sie die Benutzer-/Dienstidentität durchgängig auf. Schlüssel drehen. Vermeiden Sie gemeinsame Tokens.
  
• Eingangsleitplanken: Erfassen Sie Prompt-Injection, Kontextmanipulationen und nicht vertrauenswürdige Quellen, bevor sie das Modell erreichen.
  
• Ausgangsleitplanken: Blockieren Sie PII-Leaks, den Ausgang vertraulicher Daten und giftigen oder markenfremden Text. Erzwingen Sie bei regulierten Arbeitsabläufen „Antworten nur, wenn sie auf genehmigten Quellen basieren“.
  
• Vollständige Beobachtbarkeit: Verfolgen Sie jede Anfrage: Benutzeridentität, Tool-Aufrufe, Modellauswahl, Parameter, Kosten und Leitplankenentscheidungen. Kein Einsatz von Schatten mehr.
  
• Kostenkontrolle und Regelungsbrecher: Agenten können spiralförmig aus dem Ruder laufen. Setzen Sie Budgets pro Benutzer und pro App, Schleifenerkennung und Schutzschalter fest. Reduzieren Sie den Explosionsradius von „einer schlechten Aufforderung“ aus.
• Kontrollen der Lieferkette: Verwenden Sie nur Modelle und Stecker, denen Sie vertrauen. Open Source ist nicht automatisch sicher. Prüfen Sie, was Sie abrufen, bevor es in Prod ausgeführt wird.

Warum MCP den Einsatz erhöht

Jetzt sind LLMs nicht mehr nur sich unterhalten—sie können handeln. Mit dem Model Context Protocol (MCP) entdecken Agenten Tools und führen Aktionen auf GitHub, Jira, Slack, Cloud-APIs, internen Systemen und mehr aus. Das macht MCP zu einem enormen Beschleuniger für die Produktivität von Entwicklern und zu einer neuen Risikoklasse. Ein Agent mit schlechtem Umfang kann über Nacht 500 Tickets schließen, Daten exfiltrieren oder einen Branch löschen, weil während eines Abrufs eine hinterhältige Anweisung eingedrungen ist.

Jetzt können Sie sehen, wie der Übergang von „falschen Antworten“ zu „nicht autorisierten Aktionen“ erfolgt. Tools vervielfachen sowohl den Wert als auch das Risiko, weshalb Änderungen vorgenommen werden müssen, um diesen zu begegnen.

Key Metrics for Evaluating Gateway

Criteria	What should you evaluate ?	Priority	TrueFoundry
Latency	Adds <10ms p95 overhead for time-to-first-token?	Must Have	✅ Supported
Data Residency	Keeps logs within your region (EU/US)?	Depends on use case	✅ Supported
Latency-Based Routing	Automatically reroutes based on real-time latency/failures?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported
Key Rotation & Revocation	Rotate or revoke keys without downtime?	Must Have	✅ Supported

MCP Gateway Evaluation Checklist

A practical guide used by platform & infra teams

Was sind die Punkte, auf die bei einem KI-Gateway zu achten ist?

Wenn MCP ins Spiel kommt, erhöhen Sie Ihre Grundlinie in diesen Bereichen:

• Authentifizierung und Autorisierung für MCP-Server (wer sind Sie, was können Sie tun).
  
• Granulare Zugriffskontrolle (Tool- und Bedienebene).
  
• Leitplanken (Input/Output- und Tool-Nutzungsrichtlinien).
  
• Beobachtbarkeit (Trace, Attribut, Audit).
  
• Ratenbegrenzung und Kontingente (Loopbreaker pro Benutzer/App).
  
• Sicherheit der Lieferkette (geprüfte Server, signierte Artefakte, gepinnte Versionen).

Lassen Sie uns näher auf einige weniger diskutierte Faktoren eingehen.

• Leitplanken im Verkehrsweg:
  Das Gateway befindet sich zwischen Agenten und Tools/Modellen und wendet Leitplanken sowohl für die Eingabe als auch für die Ausgabe an. Sie können Richtlinien pro Benutzer, pro App, pro Modell, pro Team oder über Metadaten festlegen. Typische Prüfungen:
  • Eingabe: Prompt Injection, Rolleneskalation innerhalb langer Konversationen, bösartige URLs/Code im abgerufenen Kontext.
    
  • Ergebnis: DLP-Masking (SSNs/Karten/Tokens), Toxizitäts- und Themenrichtlinien, Grundüberprüfungen für regulierte Antworten
  ‍
• Beobachtbarkeit: Trace, Attribut, Audit:
  Ohne Attribution und Entscheidungsprotokolle können Sie die Durchsetzung weder untersuchen noch nachweisen. Das KI-Gateway sendet durchgängige Traces (Identität, Eingabeaufforderungsmetadaten, Modellparameter, jeder Toolaufruf mit Parametern/Ergebnissen, Treffer/Entscheidungen der Leitplanken und Kosten). Verwenden Sie die Dashboards, um Folgendes zu beantworten:
  
  • Welcher Agent hämmt code_executor—gültiger Workload oder böswilliger Prompt?
  • Warum ist die ask_bot-Latenz auf 20 gestiegen — API-Verlangsamung oder rekursive Schleife?
  • Warum nimmt ein Tool 80% der Anrufe auf — ist es geschäftskritisch oder einfach überprivilegiert?
    
    
• Ratenbegrenzung und Budgets: Loop-Breaker von Haus aus:
  Agenten können spiralförmig sein. Behandeln Sie Budgets und QPS als Sicherheitskontrollen:
  
  • Kontingente pro Benutzer/App/Tool und Obergrenzen pro Minute zur Begrenzung des Explosionsradius.
  • Schleifenerkennung, um bei sich wiederholenden Mustern einen Brecher auszulösen.
  • Strengere Obergrenzen für sensible Dienstleistungen (Zahlungen, Kundendaten).
    ‍
• Integrität der Lieferkette für MCP und Modelle:
  Wenn du die Server nicht überprüfst, könnte ein „Slack MCP“ ein bösartiges Paket sein, das heimlich Chat-Logs versendet. Automatische Updates können manipulierte Versionen abrufen. Die Antwort der Unternehmensleitung ist ein geprüftes/kuratiertes Register, angeheftete Versionen und signierte Artefakte — plus Modell-Scanning und Red-Team-Runs vor der Produktion.
  

Wie TrueFoundry und Palo Alto Ihnen helfen, Ihre GenAI-Infrastruktur zu sichern

Agenten sind am nützlichsten, wenn sie Tools aufrufen können, um echte Arbeit zu erledigen. MCP standardisiert, wie Agenten diese Tools erkennen und aufrufen. Aber Macht erfordert Kontrolle. Unser empfohlenes Muster ist ein zweischichtiges Design:

• AI Gateway (Steuerebene): Der zentrale Ort für Routing, Zugriffskontrolle, Ratenbegrenzung, Schlüsselverwaltung, Beobachtbarkeit und Leitplanken. Dies ist die einzige Proxy-Ebene, durch die der gesamte Agenten-/Modell-/Tool-Verkehr fließt. Hier zentralisieren Sie auch die MCP-Server-Authentifizierungsmodi — ohne Auth (Demo), Header/Bearer und OAuth (Slack/Github/Atlassian), sodass nicht jedes Team die Authentifizierung immer wieder löst.
  
• Sicherheit (Validierungsebene): Laufzeitinspektion, KI-Haltungsmanagement, Modellscanning und Red-Teaming, bereitgestellt über Palo Alto Networks Prisma AIRS, das in das Gateway integriert ist.

Aber warum geteilte Kontrolle und Validierung?

Wenn Sie die Kontrolle an einem Ort haben, erhalten Plattformteams ein hervorragendes Entwicklererlebnis (ein Endpunkt, einheitliche SDKs, Self-Service-Onboarding). Wenn die Validierung auf einer eigenen Ebene stattfindet, erhalten die Sicherheitsteams tiefe Einblicke und Beweise (Leitplanken, DLP-Maskierung, URL-/Code-Überprüfung und Statusüberprüfungen), ohne die Geschwindigkeit der Entwickler zu beeinträchtigen.

Dreischichtige Autorisierung

Unser CTO Abhishek führt exemplarische Vorgehensweisen durch ein einfaches Modell für MCP-Autorisierung im AI Gateway von TrueFoundry:

1. Wer bist du? Das Gateway verifiziert die Personen- oder Dienstidentität (z. B. über Ihr IdP-Token) beim Eingang.
   
2. Was kannst du tun? Das Gateway setzt die Richtlinien für den jeweiligen MCP-Server und das jeweilige Tool/die jeweilige Operation durch („PRs lesen“/„PRs kommentieren“, aber „kein Löschen von Zweigen“).
   
3. Wie beweisen wir es flussabwärts? Das Gateway übersetzt die Token genau so, wie es der Zielserver erwartet (Wechsel zu Slack/GitHub OAuth oder einem kurzlebigen Header-Token).
   

Dieses „3-Layer-Authn/Z“ -Muster entfernt einmalige Geheimnisse, behält die Zuordnung bei und verhindert, dass überprivilegierte Bots irreversiblen Schaden anrichten.
Beispiel: Ein PR-Review-Agent kann PRs auflisten und Kommentare hinterlassen, aber die AI-Gateway-Richtlinie verweigert branches.delete, selbst wenn in einer Aufforderung versucht wird, „nach der Zusammenfassung auch main zu löschen“. Die Ablehnung — und die Identität hinter dem Versuch — werden protokolliert.

Virtuelle MCP-Server

Wir haben auch behandelt, was virtuelle MCP-Server sind. Kurz gesagt, geben Sie Agenten nicht die gesamten JIRA/Github/Confluence-Kataloge. Erstellen Sie ein virtuelles MCP, das genau das bereitstellt, was der Workflow benötigt — zum Beispiel: JIRA.create_issue, Github.create_PR und Confluence.search_docs als einen einzigen Engineering-MCP-Endpunkt. Sie erhalten klarere Eingabeaufforderungen, schnellere Genehmigungen und von Natur aus einen kleineren Aktionsradius.

Was Ihnen das MCP-Gateway bietet

Ein gut gestaltetes MCP-Gateway fungiert wie eine richtlinienorientierte Telefonzentrale zwischen Agenten und Tools:

• Ein Ort für Recherche und Zutrittskontrolle: Registrieren Sie die MCP-Server einmal. Ermitteln Sie, wer welche Tools sehen kann.
  
• Berechtigungen auf Tool-Ebene und kuratierte Register: Präsentieren Sie nur die zulässige Werkzeugoberfläche pro App oder pro Team.
  
• Intelligente Werkzeugauswahl: Übergeben Sie nicht tausend Tools an einen einzigen Prompt-Kontext.
  
• Weltweite Tarifgrenzen und Kontingente: Halte Schleifen und außer Kontrolle geratene Kosten ein.
  
• Einheitliches Tracing für alle Tools und Modelle: Ordnen Sie jede Aktion einer Personen- oder Dienstidentität zu und geben Sie Hinweise darauf, welche Richtlinie wo ausgelöst wurde.
  

Wenn Sie „kein MCP-Gateway“ mit „mit MCP-Gateway“ vergleichen, ist der Unterschied deutlich: weniger maßgeschneiderte Verbindungen, zentrale Authentifizierungsabläufe, zentralisierte Verwaltung der Anmeldeinformationen, Audit-Trails auf Unternehmensebene und ein geprüfter Serverkatalog statt einer Vielzahl von nicht verwalteten Skripten.

Wie Palo Alto Prisma AIRS die Leitplanken innerhalb der Gateway-Ebene verstärkt

• Laufzeitsicherheit: Untersuchen Sie Eingabeaufforderungen und Ausgaben auf Prompt-Injection, bösartige URLs oder Code, toxische Inhalte, agentenspezifische Bedrohungen und mehr. Setzen Sie DLP-Richtlinien und Maskierungen in Echtzeit durch.
  
• KI-Sicherheitsmanagement (AI-SPM): Erkennen Sie Fehlkonfigurationen frühzeitig und setzen Sie Best Practices für Modell- und Agentendienste durch.
  
• Rotes Teaming: Testen Sie KI-native Workflows und messen Sie die Effektivität von Richtlinien.
  
• Scannen von Modellen: Erkennt Sicherheitslücken in den Modelldateien selbst (Deserialisierung, Hintertüren, Malware).
  
• Agentensicherheit: Achten Sie auf Missbrauch von Tools und Kommunikationsvergiftungen zwischen Agenten.
  

Sie können Sicherheitsprofile pro Anwendung anpassen, um ein ausgewogenes Verhältnis zwischen Latenz und Schutz herzustellen. Alle Entscheidungen werden zu Auditzwecken protokolliert.

Ein kurzer Blick auf die Demo

Wir haben einen Agenten demonstriert, der offene Pull-Requests für einen Teamkollegen auflistet und ihn auf Slack anstupst. Der Trace zeigt jeden Schritt — Tool-Calls, Modellargumentation, Timing — und die Entscheidungen, die den Weg dahin begleiten. Das Dashboard zeigt, welche Tools die meisten Aufrufe, Latenzspitzen und jegliches schleifenartiges Verhalten verarbeiten. Das ist der Unterschied zwischen hofft Ein Agent ist sicher und weiß, dass es so ist. Sie können es sich auf dem YouTube-Link ansehen, den wir später im Blog angehängt haben.

Fragen, die wir live beantwortet haben

„Warum nicht einfach ein normales API-Gateway verwenden?“
Weil KI-Workloads neue Anforderungen mit sich bringen: Token-Übersetzung pro Tool, RBAC auf Tool-Ebene, Eingabe-/Ausgabe-Leitplanken, umfangreiche Audit-/Rückverfolgbarkeit und intelligentes Tool-Routing. Ein klassisches Gateway weiß nichts über Prompts, Traces oder Modell-/Tool-Semantik.

„Können wir bestehende Tools wie ChatGPT oder Cloud-IDEs überwachen?“
Wenn Sie mit dem Tool einen Proxy- oder benutzerdefinierten Modellendpunkt festlegen können, leiten Sie ihn durch das Gateway und setzen Sie dort Leitplanken/Beobachtbarkeit durch. Wenn dieses Steuerelement nicht sichtbar ist, können Sie keine transparente Inspektion in der Mitte hinzufügen.

„Wie vermeiden wir schädliche Feinabstimmungen?“
Passen Sie auf Ihre Daten auf: schließen Sie PII und Geheimnisse aus. Überprüfe die Herkunft für jedes Basismodell, das du aufnimmst. Scannen Sie die Modelldateien vor dem Training auf verborgene Verhaltensweisen.

„Bekommen Entwickler SDKs?“
Standard-MCP-Clients funktionieren sofort. Prisma AIRS stellt einen Server und ein SDK zur Verfügung, und das Gateway bietet Copy-Paste-Snippets für Python/TypeScript und beliebte Agenten-Frameworks.

Sehen Sie sich die gesamte Sitzung an

Wenn Sie es verpasst haben oder möchten, dass Ihre Plattform- und Sicherheitsteams dies nachholen, finden Sie hier die Aufzeichnung:
YouTube: https://youtu.be/hWNV2v3C8SA

Probiere es aus und sprich mit uns

Wir bieten eine einmonatige Testversion des MCP-Gateway—verfügbar als SaaS oder selbst gehostet. Wenn Sie eine 30-minütige Architekturüberprüfung zur Kalibrierung von Kosten-, Latenz- und Leitplankenprofilen wünschen, helfen wir Ihnen gerne weiter. Sie erhalten:

• Kostenlose Einrichtung und Onboarding
  
• Ein privater Slack/Teams-Kanal für Support
  
• Zugriff auf Observability-Dashboards und Guardrail-Profile, die auf Ihre Apps zugeschnitten sind
  

Vielen Dank an das Team von Palo Alto Networks, dass es sich uns angeschlossen und den Stand der KI-Sicherheit vorangetrieben hat.

Häufig gestellte Fragen

Was ist KI-Sicherheit für Unternehmen?

Die KI-Sicherheit in Unternehmen ist ein vielschichtiges Framework aus Protokollen, Tools und Richtlinien, das KI-Modelle und Unternehmensdaten vor speziellen Bedrohungen wie Prompt-Injection und Datenexfiltration schützen soll. Dazu gehören die Implementierung strenger Zugriffskontrollen und eine Überwachung in Echtzeit, um sicherzustellen, dass Modellinteraktionen sicher und konform bleiben. TrueFoundry zentralisiert diese Anforderungen auf einer einzigen Steuerungsebene, sodass Unternehmen die Sicherheit über verschiedene Modelle und interne Systeme hinweg verwalten können, ohne die Komplexität der Architektur zu erhöhen.

Warum ist KI-Sicherheit für Unternehmen wichtig?

Die Aufrechterhaltung der KI-Sicherheit in Unternehmen ist entscheidend, um zu verhindern, dass vertrauliche personenbezogene Daten und geistiges Eigentum versehentlich an externe Modellanbieter weitergegeben werden. Ohne eine dedizierte Sicherheitsebene riskieren Unternehmen die Nichteinhaltung gesetzlicher Vorschriften und sind anfällig für gegnerische Angriffe, die autonome Agenten gefährden können. TrueFoundry begegnet diesen Bedenken, indem es den gesamten KI-Stack in Ihrer privaten VPC bereitstellt und sicherstellt, dass die Datenresidenz gewahrt bleibt und jeder Tool-Aufruf vollständig überprüfbar und kontrolliert ist.

Wie helfen MCP Gateway Runtime Guardrails bei der KI-Sicherheit von Unternehmen?

Im Rahmen einer ganzheitlichen KI-Sicherheitsstrategie für Unternehmen dienen MCP-Gateway-Runtime Guardrails als proaktive Abwehrschicht, die jede Interaktion in Echtzeit überprüft. Diese Leitplanken redigieren automatisch vertrauliche Informationen und blockieren bösartige Eingaben, bevor sie das Modell oder die internen Backend-Systeme erreichen. Das Gateway von TrueFoundry verwendet diese Schutzmaßnahmen, um feinkörnige Berechtigungen für die Nutzung von Tools durchzusetzen. Dadurch wird eine dynamische Schutzebene bereitgestellt, die sicherstellt, dass die Agenten innerhalb sicherer, vordefinierter Grenzen arbeiten.