在 AI Agent 的開發生態中,Model Context Protocol (MCP) 是一個非常強大的標準,它讓開發者能快速地將外部工具(Tools)與資源連接到 AI 模型。然而,當我們將工具能力開放給 Agent 時,會面臨一個嚴峻的工程挑戰:我們如何確保這些工具不會被惡意利用?或者防止工具回傳的內容對模型造成二次傷害?
為了在靈活性與安全性之間取得平衡,微軟推出了 Microsoft.AgentGovernance.Extensions.ModelContextProtocol 擴展套件。這個套件旨在為基於 .NET 的 MCP 伺服器提供一套標準化的治理(Governance)機制,讓開發者不必從零開始撰寫複雜的驗證邏輯。
為什麼 MCP 伺服器需要治理機制
對於初學者來說,MCP 讓工具整合變得簡單,但這種簡單也帶來了安全漏洞。例如,如果一個工具的描述文字中包含了類似指令注入(Prompt Injection)的內容,Agent 可能會被誤導而執行非預期的操作。此外,如果工具回傳的結果中包含敏感資訊或惡意指令,這些內容會直接回饋給模型,可能導致模型在後續對話中失控。
在沒有治理框架的情況下,工程師通常會寫很多零散的 Filter 或驗證邏輯,這不僅難以維護,且容易在擴展功能時遺漏。Agent Governance Toolkit 的核心目標就是將這些安全檢查標準化,將安全路徑變成開發者的預設路徑。
治理流程的兩大階段
該套件將治理分為啟動時(Startup)與執行時(Runtime)兩個階段,形成一套完整的防禦體系。
啟動時的工具定義掃描
在 MCP 伺服器正式對外提供服務之前,套件會先對所有註冊的工具進行掃描。這是一個門檻檢查(Startup Gate),如果發現有危險的工具定義,伺服器會直接拒絕啟動,確保不安全的工具永遠不會被暴露給客戶端。
掃描的重點包括工具中毒(Tool Poisoning)、名稱誤導(Typosquatting)、隱藏指令、以及 Schema 濫用。例如,如果工具的參數要求輸入 token 或 password 等敏感資訊,或者描述中包含試圖覆蓋模型指令的文字,掃描器都會將其標記為風險。
執行時的工具呼叫治理
當 Agent 嘗試呼叫工具時,套件會根據預定義的策略(Policy)決定是否允許執行。這些策略可以使用 YAML 檔案定義,讓安全規則與程式碼解耦。
透過這種方式,你可以設定哪些工具僅限於特定身分(Identity)的 Agent 使用,或者對某些高成本的工具實施速率限制(Rate Limiting)。如果呼叫不符合策略,系統會直接回傳治理錯誤,而不會進入實際的執行邏輯。
回傳內容的淨化處理
這是最容易被忽略的一環。工具執行完畢後,回傳給模型的結果可能會包含惡意標籤(如 system 標籤)或要求模型忽略先前指令的文字。
套件內建的淨化器(Sanitizer)會在結果送回模型前進行掃描,將危險片段剔除或遮蔽,同時盡量保留有用的資訊。這能有效防止工具輸出成為 prompt injection 的載體。
實務上的整合與設計哲學
對於工程師而言,最重要的是這個套件不需要你更換 SDK 或增加複雜的代理伺服器(Proxy)。它直接擴展了官方的 IMcpServerBuilder,只要在設定 pipeline 中加入 WithGovernance 呼叫,即可啟用所有保護機制。
該套件採取 Fail Closed(預設關閉/拒絕)的設計哲學。這意味著在預設情況下,啟動掃描、回應淨化、以及稽核紀錄(Audit)都是開啟的。開發者不需要面對一份冗長的安全檢查清單,只要安裝並配置,就能獲得一個強大的安全基準線。
總結與適用場景
如果你正在開發企業級的 Copilot、內部自動化工具或 Agent 平台,且需要滿足以下需求,這個套件會非常有幫助: 第一,需要在不修改業務邏輯的情況下,統一管理多個 MCP 伺服器的權限。 第二,需要防止惡意工具定義在部署階段就被攔截。 第三,需要確保工具回傳的內容不會對模型產生負面影響。
透過將治理邏輯從業務程式碼中抽離,開發團隊可以更專注於工具功能的開發,而將安全防線交由標準化的框架來維護。
來源:devblogs.microsoft.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。