Penjelasan Keamanan MCP #
Protokol Konteks Model tidak datang dengan peringatan keamanan. Protokol ini hadir sebagai terobosan produktivitas, sebuah standard yang memungkinkan asisten AI untuk menjangkau lebih dari sekadar jendela obrolan dan berinteraksi langsung dengan alat, file, API, dan pipelinePada saat tim keamanan mulai bertanya apa itu MCP, MCP sudah berjalan di lingkungan pengembangan dalam skala besar.
Kesenjangan antara adopsi dan tata kelola itulah tepatnya tempat serangan rantai pasokan terjadi. Memahami apa itu Model Context Protocol, bagaimana server MCP bekerja, dan risiko apa yang ditimbulkannya kini menjadi hal yang penting. Persyaratan inti bagi setiap tim DevSecOps yang beroperasi di lingkungan berbasis AI..
Apa itu Protokol Konteks Model? Definisi #
Model Context Protocol (MCP) adalah protokol terbuka. standard Hal ini mendefinisikan bagaimana model bahasa besar berkomunikasi dengan alat eksternal, sumber data, dan layanan. Jika asisten AI tradisional hanya merespons dengan teks, asisten yang diaktifkan MCP dapat mengambil tindakan (membaca file, melakukan kueri API, menjalankan perintah, menginstal dependensi, dan berinteraksi dengan...). CI/CD pipelines) melalui antarmuka terstruktur yang menghubungkan model ke lingkungan pengembang.
MCP diperkenalkan oleh Anthropic pada November 2024 dan sejak itu diadopsi di berbagai alat pengkodean AI utama termasuk Claude, Cursor, Windsurf, dan GitHub Copilot. MCP menyediakan bahasa umum untuk komunikasi antara AI dan alat, mirip dengan bagaimana HTTP menyediakan protokol umum untuk komunikasi web.
Jika asisten AI adalah otak, maka server MCP adalah sistem saraf yang menghubungkannya ke tubuh perangkat pengembangan.
Bagaimana Apakah Ini Bekerja? #
MCP beroperasi melalui arsitektur klien-server dengan tiga komponen:
- Tuan rumah MCP adalah aplikasi yang digunakan pengembang, IDE seperti VS Code, Cursor, atau Windsurf, atau asisten AI seperti Claude. Host mengelola koneksi ke server MCP dan mengontrol apa yang dapat diakses oleh model.
- Klien MCP Berada di dalam host dan mempertahankan koneksi satu-ke-satu dengan setiap server MCP. Ia menerjemahkan permintaan model menjadi panggilan alat yang terstruktur dan mengembalikan hasilnya ke model.
- Server MCP adalah jembatan menuju kemampuan eksternal. Ia mengekspos alat, sumber daya, dan perintah yang dapat dipanggil oleh model. Server MCP dapat terhubung ke sistem file, repositori GitHub, basis data, dan lain-lain. CI/CD platform, atau pemindai keamanan. Setiap panggilan alat yang dilakukan model melewati server MCP, yang mengeksekusinya dan mengembalikan hasilnya.
Ketika seorang pengembang meminta asisten AI untuk memindai proyek, memperbaiki kerentanan, atau menginstal dependensi, model tersebut tidak melakukan tindakan tersebut secara langsung. Model tersebut mengirimkan permintaan terstruktur ke server MCP yang relevan, yang kemudian melakukan tindakan tersebut menggunakan alat lokal yang berwenang dan mengembalikan hasilnya.
MCP vs Asisten AI Tradisional: Apa yang Berubah? #
Sebelum MCP, asisten pengkodean AI pada dasarnya pasif. Mereka dapat membaca kode yang Anda tempelkan ke dalam obrolan dan menyarankan perubahan, tetapi mereka tidak dapat bertindak langsung pada lingkungan Anda. MCP mengubah model itu sepenuhnya.
Perbedaan ini penting untuk keamanan karena mengubah apa yang dapat dijangkau oleh asisten AI. Asisten tradisional yang memberikan saran buruk akan menghabiskan satu siklus peninjauan kode. Asisten yang diaktifkan MCP yang melakukan tindakan buruk (menginstal dependensi berbahaya, menjalankan skrip build yang disusupi, atau meneruskan kredensial ke titik akhir eksternal) akan mengakibatkan insiden.
MCP mengubah asisten AI dari penasihat menjadi operator. Pergeseran ini membutuhkan kontrol keamanan yang sama seperti yang Anda terapkan pada operator mana pun yang memiliki akses ke infrastruktur Anda.
Apa itu Server MCP? #
Seorang MCP Server adalah proses ringan yang mengekspos berbagai kemampuan. untuk klien AI yang kompatibel dengan MCP. Ini mendefinisikan serangkaian alat (tindakan diskrit yang dapat dipanggil oleh model) bersama dengan sumber daya yang dapat dibaca oleh model dan templat pemicu yang dapat digunakannya.
Server MCP tersedia untuk berbagai macam integrasi: akses sistem file, GitHub, Slack, basis data, pemindai keamanan, dan CI/CD Pengembang dapat menjalankan server MCP secara lokal, di dalam infrastruktur organisasi mereka, atau terhubung ke server MCP yang dihosting pihak ketiga yang disediakan oleh vendor eksternal.
Kategori terakhir inilah yang menempatkan risiko keamanan sebagai hal yang nyata. Server MCP pihak ketiga adalah proses eksternal yang memiliki akses ke lingkungan pengembang. Penelitian menunjukkan bahwa 5.5% server MCP publik membawa kerentanan peracunan alat dan 43% membawa kerentanan injeksi perintah, yang berarti sebagian besar server MCP yang tersedia untuk umum dapat digunakan sebagai senjata untuk memanipulasi perilaku AI, mengeksfiltrasi data, atau mengeksekusi perintah yang tidak sah.
Risiko Keamanan MCP: Apa yang Perlu Diketahui Tim DevSecOps #
MCP memperkenalkan celah keamanan baru yang tidak dapat dicakup oleh alat AppSec tradisional. Risiko utamanya adalah:
Server Shadow MCP. Pengembang mengkonfigurasi server MCP secara lokal tanpa persetujuan atau tata kelola formal, sehingga menciptakan kesenjangan inventaris. Tim keamanan tidak dapat melindungi apa yang tidak dapat mereka lihat.
Keracunan alat. Server MCP berbahaya mengekspos alat yang tampak sah tetapi menjalankan tindakan berbahaya ketika dipanggil oleh model. Karena model mempercayai definisi alat yang diterimanya, model dapat memanggil alat yang telah disusupi tanpa indikasi yang terlihat bahwa ada sesuatu yang salah.
Injeksi cepat melalui MCP. Konten berbahaya dalam file, dokumen, atau respons API dapat menyuntikkan instruksi ke dalam konteks model, memanipulasi perilakunya. Server MCP yang membaca konten eksternal dan meneruskannya ke model tanpa sanitasi merupakan vektor injeksi prompt langsung.
Manipulasi ketergantungan. Server MCP yang mengelola instalasi paket atau resolusi dependensi dapat disusupi untuk menginstal paket berbahaya. Ketika agen AI menginstal dependensi secara otomatis melalui server MCP, tidak ada peninjau manusia antara paket berbahaya dan agen tersebut. pipeline.
Paparan kredensial. Server MCP sering menangani token otentikasi, kunci API, dan variabel lingkungan. Konfigurasi MCP yang tidak aman dapat mengekspos kredensial ini melalui konteks model atau melalui log.
Eksekusi alat tanpa izin. Tanpa daftar izin yang ketat, asisten yang diaktifkan MCP dapat memanggil alat yang melampaui cakupan yang dimaksudkan, memodifikasi infrastruktur produksi, mengakses repositori sensitif, atau melakukan panggilan API ke layanan eksternal.
Keamanan Praktik Terbaik #
Mengamankan MCP memerlukan perlakuan terhadap setiap server MCP sebagai integrasi yang memiliki hak istimewa, bukan sekadar kemudahan bagi pengembang.
- Blokir ketergantungan berbahaya di titik akhir. Ketika agen yang diaktifkan MCP menginstal dependensi, instalasi tersebut harus dicegat dan dipindai sebelum dieksekusi. Deteksi berbasis tanda tangan tidak cukup; paket berbahaya yang menargetkan perangkat AI diterbitkan lebih cepat daripada kemampuan tanda tangan untuk melacaknya.
- Inventarisasi setiap server MCP. Ketahui server MCP apa yang dikonfigurasi di seluruh lingkungan pengembangan Anda, secara lokal, dan di dalam sistem Anda. CI/CD pipelines, dan dalam konfigurasi IDE Anda. Shadow MCP adalah masalah yang sama dengan shadow IT, dengan akses langsung ke perangkat Anda.
- Terapkan daftar izin MCP. Hanya server MCP yang telah disetujui yang boleh dijalankan. Server yang tidak disetujui yang mencoba terhubung harus diblokir di titik akhir sebelum dapat berinteraksi dengan model.
- Terapkan hak akses minimal pada definisi alat MCP. Setiap server MCP seharusnya hanya mengekspos alat-alat yang dibutuhkan untuk fungsi spesifiknya. Server pembaca file tidak seharusnya mengekspos kemampuan instalasi paket.
- Validasi dan bersihkan konten yang melewati MCP. Setiap konten eksternal (file, respons API, hasil basis data) yang melewati server MCP dan masuk ke dalam konteks model merupakan vektor injeksi prompt potensial. Perlakukan konten tersebut sebagai input yang tidak tepercaya.
- Pantau interaksi MCP saat runtime. Catat setiap panggilan alat yang dilakukan model melalui server MCP. Pola anomali (pemanggilan alat yang tidak terduga, koneksi keluar dari lingkungan build, panggilan alat di luar jam kerja normal) adalah indikator awal adanya pelanggaran keamanan.
Insiden Keamanan di Dunia Nyata #
Keamanan MCP bukanlah teori. Pada awal tahun 2026, penelitian dari Queen's University mendokumentasikan bahwa tumpukan MCP memiliki Probabilitas eksploitasi 92% Ketika beberapa plugin digabungkan. Kampanye PromptMink (yang dikaitkan dengan kelompok yang disponsori negara Korea Utara, Famous Chollima) secara khusus merekayasa paket npm berbahaya untuk menipu agen pengkodean AI yang beroperasi melalui antarmuka mirip MCP agar menginstal malware pencuri kredensial. Paket-paket tersebut dirancang agar terlihat sah bagi agen AI bahkan ketika peninjau manusia akan menandainya sebagai berbahaya.
Pada bulan Juni 2026, Xygeni mengkonfirmasi klaster ollama-helpers dan openai-agents-helpers. (lebih dari 35 versi gabungan yang diterbitkan dalam gelombang terkoordinasi) secara langsung menargetkan paket yang digunakan dalam alur kerja pengembangan agen di mana koneksi MCP umum. Ketika agen AI menginstal dependensi secara otomatis melalui server MCP, tidak ada peninjau manusia antara paket berbahaya dan eksekusi.
Apa itu MCP dalam konteks keamanan rantai pasokan AI? #
MCP berada di persimpangan antara keamanan AI dan software supply chain securityIni adalah lapisan yang menghubungkan model AI dengan alat, repositori, dan infrastruktur yang mendefinisikan AI modern. SDLC, yang menjadikannya sekaligus titik integrasi paling ampuh dan permukaan serangan paling rentan dalam pengembangan berbasis AI.
Keamanan aplikasi tradisional berhenti di repositori. EDR memantau sistem operasi. Keduanya tidak dirancang untuk memahami server MCP, panggilan alat, atau instalasi dependensi yang dimediasi AI. Kesenjangan di antara keduanya persis menjadi tempat serangan berbasis MCP terjadi.
Mengamankan MCP membutuhkan visibilitas terhadap server MCP apa yang berjalan, alat apa yang mereka gunakan, apa yang dipanggil oleh model, dan apakah dependensi serta file yang ditangani telah divalidasi. Itu adalah inventaris AI, pemantauan perilaku, dan keamanan rantai pasokan yang digabungkan menjadi satu masalah.
Mengamankan MCP dengan Xygeni
#
Keamanan MCP membutuhkan lebih dari sekadar dokumen kebijakan dan daftar periksa praktik terbaik. Hal ini membutuhkan visibilitas berkelanjutan terhadap server MCP apa yang berjalan di seluruh lingkungan pengembangan Anda, pemantauan perilaku setiap panggilan alat yang dilakukan model, dan kemampuan untuk memblokir dependensi berbahaya di titik akhir sebelum dieksekusi, sebelum tanda tangan (signature) ada. Memahami apa itu Model Context Protocol adalah kuncinya.
Platform Keamanan AI Xygeni Mencakup seluruh permukaan serangan MCP: menginventarisasi setiap server MCP melalui AI-SPM, mendeteksi peracunan alat, injeksi prompt, dan konfigurasi MCP yang tidak aman melalui pemindaian AI Security yang selaras dengan OWASP MCP Top 10, dan menegakkan kebijakan di titik akhir pengembang melalui Shield, memblokir server MCP yang tidak disetujui dan dependensi berbahaya sebelum mencapai pipeline.
Jika tim Anda menjalankan asisten pengkodean AI, lapisan MCP sudah menjadi bagian dari celah keamanan Anda. Pertanyaannya adalah apakah Anda dapat melihatnya.

FAQ (Pertanyaan Umum) #
MCP (Model Context Protocol) adalah protokol terbuka. standard Hal ini memungkinkan asisten AI untuk berkomunikasi dengan alat, sumber data, dan layanan eksternal. Ini memungkinkan model AI untuk melakukan tindakan (membaca file, melakukan kueri API, menginstal paket, menjalankan perintah) melalui antarmuka terstruktur, bukan hanya merespons dengan teks.
MCP menimbulkan risiko keamanan yang signifikan jika tidak diatur dengan benar. Penelitian menunjukkan 5.5% server MCP publik memiliki kerentanan tool-poisoning dan 43% memiliki kerentanan command-injection.Mengamankan MCP memerlukan inventarisasi setiap server MCP, memberlakukan daftar izin (allowlist), menerapkan hak akses minimal (least privilege), dan memantau panggilan alat saat dijalankan.
API tradisional dipanggil oleh kode yang ditulis dan dikendalikan oleh pengembang. Panggilan alat MCP dipicu oleh model AI berdasarkan interpretasinya terhadap suatu tugas. Model tersebut memutuskan alat mana yang akan dipanggil, dalam urutan apa, dan dengan parameter apa, sehingga interaksi MCP lebih sulit diprediksi dan diaudit daripada panggilan API tradisional.
Tool poisoning adalah serangan di mana server MCP jahat mengekspos definisi alat yang tampak sah tetapi menjalankan tindakan berbahaya ketika dipanggil oleh model. Karena model mempercayai definisi alat yang diterimanya dari server MCP yang terhubung, model tersebut dapat memanggil alat yang telah diracuni tanpa peringatan yang terlihat.
Injeksi prompt melalui MCP terjadi ketika konten berbahaya dalam file, dokumen, atau respons API (yang diteruskan melalui server MCP ke dalam konteks model) memanipulasi perilaku model. Ini adalah padanan MCP dari injeksi SQL: input yang tidak tepercaya memengaruhi perilaku sistem tepercaya.