Model Context Protocol (MCP) sedang mengubah cara kita menggunakan LLM, mengubahnya dari chatbot pasif menjadi “Agent” aktif yang bisa eksekusi tugas nyata. Tapi, kebebasan baru ini membawa risiko keamanan serius yang belum tercover standar lama seperti NIST atau ISO.
😱 Masalah: Ketika Agent Terlalu “Polos”
Masalah utamanya adalah pergeseran dari integrasi API yang statis (dikontrol developer) menjadi sistem dinamis (dikontrol user).
⚠️ Content Injection: Agent membaca data (misal: tiket support atau email) yang ternyata berisi instruksi jahat tersembunyi. Agent yang “polos” akan menuruti perintah tersebut.
🦠 Supply Chain Attack: User menginstall MCP server dari komunitas (npm/PyPI) yang ternyata berisi malware atau kode berbahaya (“rugpull attacks”), tanpa melalui audit keamanan.
🤖 Inadvertent Adversary: Agent tidak berniat jahat, tapi saking inginnya “membantu” menyelesaikan tugas, dia bisa saja menggabungkan tools dengan cara yang tidak terduga dan membocorkan data sensitif (Exfiltration).
🛡️ Solusi: Defense-in-Depth & Gateway Architecture
Penulis mengusulkan kerangka kerja pertahanan berlapis dengan konsep MCP Gateway. Gateway ini bertindak sebagai pos pemeriksaan pusat antara Agent (Client) dan Tools (Server).
🔐 Per-User Authentication: Tinggalkan shared token. Gunakan OAuth per-user agar agent hanya bisa akses data yang memang diizinkan untuk user tersebut.
📦 Mandatory Sandboxing: Semua MCP server wajib jalan di dalam container terisolasi (Docker/VM) dengan akses network terbatas. Jangan biarkan agent akses file system host sembarangan!
👁️ Inline Policy Enforcement: Gunakan DLP (Data Loss Prevention) di tengah jalur komunikasi untuk mendeteksi dan memblokir jika ada data sensitif (PII/Secrets) yang mau dikirim atau diterima agent.
📜 Provenance Tracking: Catat segalanya. Siapa user-nya, apa prompt-nya, tools apa yang dipanggil, dan apa responnya. Ini vital untuk audit forensik.
✅ Hasil & Dampak
🚫 Blast Radius Terkontrol: Dengan sandboxing, jika satu server MCP disusupi, penyerang tidak bisa lompat ke sistem utama perusahaan.
🔍 Auditability: Kita bisa melacak “pemikiran” agent dan membedakan mana aksi yang sah dan mana yang dimanipulasi oleh prompt injection.
💡 Key Takeaways
🧩 Jangan Asal Connect: Kemudahan instalasi MCP server adalah pedang bermata dua. Gunakan Private Registry untuk menampung server yang sudah diaudit saja.
🚧 Trust Zero Code: Anggap semua kode MCP server dari luar sebagai untrusted. Jangan pernah jalankan di mesin lokal tanpa isolasi.
🧠 Agent Bukan Manusia: Mereka tidak punya kompas moral atau insting keamanan. Kitalah yang harus memasang pagar pembatasnya lewat Gateway.
👇 Diskusi Yuk!
Kalian sudah mulai implementasi MCP di kantor? Bagaimana cara kalian membatasi akses agent agar tidak “kebablasan” baca data sensitif? Share strategi kalian di kolom komentar! 👇
Sumber:
https://arxiv.org/html/2511.20920v1
#ModelContextProtocol #AIsecurity #LLM #CyberSecurity #AIGovernance #DevSecOps #MachineLearning #ArtificialIntelligence #TechSafety
