آینده‌ی چالش‌های امنیت API در چه عرصه‌ای رقم خواهد خورد؟

از مدل‌های زبانی بزرگ تا پروتکل زمینه مدل (From LLMs to MCPs)

ما هنوز راه درازی تا دستیابی هوش مصنوعی (AI) به تکینگی (singularity)، یعنی هوشی که از انسان فراتر رود، داریم. اما سرعت تکامل آن بسیار سریع‌تر از تصورات قبلی است. وقتی ChatGPT وارد صحنه شد، تصور می‌شد AI برای رسیدن به سطح هوش انسانی به دهه‌ها زمان نیاز داشته باشد، اما حالا ممکن است فقط در چند سال به آن دست یابد. از هفت مرحله توسعه AI، ما اکنون در آستانه مرحله چهارم هستیم؛ جایی که AI قادر به استدلال و استنتاج می‌شود. اغلب به‌عنوان AI عامل‌محور (Agentic AI) شناخته می‌شود و فقط یک گام با هوش عمومی مصنوعی (Artificial General Intelligence) که فناوری را با هوش انسانی هم‌تراز می‌کند، فاصله دارد. AI عامل‌محور دستاورد قابل‌توجهی است. چرا؟ چون برای اولین بار فناوری قادر به تصمیم‌گیری و عمل مستقل بدون نیاز به هدایت انسانی خواهد بود.

چرا AI به آزادی نیاز دارد

برای رسیدن به مرحله‌ای که AI عامل‌محور واقعاً مستقل عمل کند، ابتدا باید از «چرخ‌های آموزشی» رها شود. AI generative به مجموعه داده‌های مشخصی برای یادگیری محدود شده است؛ بنابراین برای worldly-wise‌تر شدن، باید بتواند ابزارها را فراخوانی کند و داده‌ها را از منابع خارجی بازیابی کند، اما بسیاری از عامل‌ها در حال حاضر در این توانایی محدود هستند. آن‌ها برای هر سیستم عملیاتی و یکپارچه‌سازی نیاز به منطق کسب‌وکاری خاص دارند. برای غلبه بر این مسئله، به یک رابط استاندارد نیاز است. آشنا به نظر می‌رسد؟ اساساً AI به معادل API نیاز دارد؛ چیزی که سال‌ها پیش توانایی اپلیکیشن‌ها و سیستم‌ها برای ارتباط با یکدیگر را دگرگون کرد. راه‌حل این مشکل، پروتکل زمینه مدل (Model Context Protocol – MCP) است که در نوامبر ۲۰۲۴ رونمایی شد.

چگونه MCP کمک می‌کند

MCP یک چارچوب منبع‌باز است که AI را به منابع و ابزارهای دیگر مانند پایگاه‌های داده و APIها متصل می‌کند و دسترسی و استفاده AI از اطلاعات دیگر را ممکن می‌سازد. این پروتکل شامل یک میزبان MCP (مانند اپلیکیشن یا سیستمی که AI در آن قرار دارد)، یک کلاینت MCP (که به‌عنوان اتصال‌دهنده از میزبان عمل می‌کند) و یک سرور MCP (که به آن متصل می‌شود و دسترسی به منابع خارجی اطلاعات را مدیریت می‌کند و عملاً middleware می‌شود) است. میزبان MCP بنابراین بین مدل زبانی بزرگ (LLM) و سرورهای MCP قرار می‌گیرد. وقتی پرامپتی دریافت می‌کند (چه از انسان یا AI)، میزبان MCP درخواست ابزارها یا اطلاعات موجود را ارسال می‌کند که به LLM منتقل می‌شود و سپس LLM ابزارهایی را که سرور باید فراخوانی کند، تعیین می‌کند. اساساً راه استانداردی است برای اجازه به AI برای sourcing طیف وسیعی از ابزارها و داده‌ها و انتظار می‌رود که با گذشت زمان، LLMها در واقع به مدل‌های عمل بزرگ (Large Action Models – LAMs) تبدیل شوند؛ قادر به درک و اجرای دستورات انسانی به‌طور مستقل.

قیمت آزادی

با این حال، درست مثل API، خود MCP ممکن است هدف مسموم‌سازی یا منحرف کردن عامل AI شود. در واقع، چون این فناوری conduit بین عامل و جهان گسترده‌تر را باز می‌کند و به دلیل سطح خودمختاری که از عامل‌ها انتظار می‌رود، MCP ریسک سیستم‌های AI را به‌طور چشمگیری افزایش می‌دهد. Anthropic، که LLM Claude را توسعه داده، سیاست مقیاس‌پذیری مسئولانه (Responsible Scaling Policy) را برای مقابله با این ریسک تدوین کرده است. سیستم ASL آنتropik، LLMهای فعلی را به‌عنوان ASL-2 طبقه‌بندی می‌کند؛ به این معنا که دسترسی به اطلاعات محدود دارند و بنابراین قابلیت‌های محدودی دارند. اما AI عامل‌محور از طریق MCP به سطح ASL-3 طبقه‌بندی می‌شود؛ جایی که قابلیت‌های خودمختار سطح پایین دارد و بنابراین ریسک سوءاستفاده فاجعه‌بار بالاتری ایجاد می‌کند. اختصاص وضعیت ASL-3 به AI عامل‌محور، الزامات امنیتی بسیار سخت‌گیرانه‌تری را به همراه خواهد داشت، مانند تست‌های خصمانه توسط تیم‌های قرمز (red teams). شرکت در حال حاضر در حال تلاش برای سازگار کردن Claude Opus 4 با ASL-3 است.

چرا این موضوع برای APIها مهم است

پس، این همه چه ربطی به APIها دارد؟ درست مثل اینکه APIها هدف قرار گرفتند، MCP هم هدف خواهد شد. بنابراین می‌توان انتظار داشت که امنیت API به لایه MCP گسترش یابد. عامل‌های AI به‌زودی اربابان جدید خواهند بود و تعاملاتی که اکنون با اپلیکیشن‌های موبایل و وب مرتبط می‌دانیم را جایگزین خواهند کرد؛ و این عامل‌ها عناصر کلیدی خواهند بود که مهاجمان برای انجام عملیات اختلال، کلاهبرداری و دستکاری هدف قرار خواهند داد. این امر ایمن‌سازی APIها و MCP را برای حفاظت از workflowها حیاتی می‌کند. مگر اینکه گام‌هایی برای ایمن‌سازی این کانال‌ها برداشته شود، خطر این است که عامل‌های AI سرکش شوند. سازمان‌ها می‌خواهند عامل‌های AI خودمختار خود را بسازند و برای اتصال آن‌ها از پلاگین‌های MCP برای فراخوانی APIها و کشیدن ابزارها و داده‌ها از هر گوشه اینترنت استفاده کنند. مگر اینکه کنترل‌هایی برای نظارت بر این درخواست‌ها قرار دهند، ریسک سوءاستفاده و تصاحب عامل‌ها وجود دارد. بنابراین تیم‌های امنیتی باید برای این نظم جهانی جدید سازگار شوند تا بتوانند ریسک‌های مرتبط با این زیرساخت را ارزیابی و ارزیابی کنند.

ایمن‌سازی MCP

ایمن‌سازی سرورهای MCP نیاز به احراز هویت و اختیار قوی دارد. گزارش‌هایی وجود دارد که سرورهای MCP توکن‌های دسترسی مورد نیاز برای احراز هویت با سیستم‌های کسب‌وکاری را به‌صورت plain text ذخیره می‌کنند؛ برای مثال، و کلاینت‌های MCP اغلب مدیریت اعتبار ارائه نمی‌دهند، بنابراین توکن‌های API نیز به‌صورت plain text ذخیره می‌شوند. اگر چندین سرور MCP استفاده شود، مشکل بیشتر تشدید می‌شود. درست مثل APIها، MCP در اکثر موارد خارج از دید عمل می‌کند؛ بنابراین قرار دادن راه‌حل‌هایی که بتوانند فعالیت‌های غیرعادی را نظارت کنند، ضروری است. نظارت ترافیک مورد استفاده برای تشخیص حملات API می‌تواند برای حاکمیت workflowها به و از سرورهای MCP استفاده شود تا به دنبال spikes در ترافیک یا فراخوانی‌ها و الگوهای مشکوک بگردد که می‌تواند نشان‌دهنده منحرف‌سازی AI مانند حملات تزریق پرامپت (prompt injection attacks) باشد. هیچ شکی نیست که MCP وعده‌های بزرگی برای اجازه به سازمان‌ها برای بهره‌برداری از منابع خارجی دارد که سپس آن‌ها را قادر می‌سازد از خودمختاری AI عامل‌محور بهره ببرند. اما سفری است که باید با احتیاط آغاز شود. استقرار MCP نیاز به بررسی چگونگی ایمن‌سازی نه تنها LLM، بلکه عامل‌ها، سرورها و workflowها برای حفاظت از کسب‌وکار دارد.