Skip to main content

组类型

兴趣组

使命声明

安全兴趣组负责梳理 MCP 特有的威胁,审查与安全相关的提案,并将已验证的问题范围收敛到聚焦的工作组或 SEP

范围

范围内

  • 威胁建模:开发并维护一套共享的、分层的 MCP 攻击面视图,涵盖接入与身份、调用方治理、运行时行为、拦截与强制执行以及可审计性,为单个提案提供统一的参考框架
  • 服务器身份、证明与接入:在客户端向服务器分发请求之前,确立服务器确实如其所声称的那样的要求,包括签名断言、信任根,以及协议级验证与注册表级验证之间的边界
  • 供应链与来源证明:本地执行的服务器二进制文件和软件包的完整性(拼写抢注、未锁定的依赖、未签名的制品)以及客户端如何验证其启动的内容
  • 运行时漂移与接入后的变更:服务器获批后,工具、模式或行为发生变更时如何处理,以及此类变更应被视为版本变更、重新审批还是安全事件
  • 可审计性与可观测性:关于工具调用做了什么、在何种授权下进行的防篡改记录要求,用于合规与事件审查
  • 传输相关安全:针对 stdio 和其他非 HTTP 传输的密钥处理、进程隔离以及未认证的攻击面,因为 HTTP 授权规范不适用
  • 安全最佳实践文档:编写并审查 安全最佳实践 指南中的条目,包括与 OWASP GenAI 和 CoSAI 等外部机构就 MCP 特定内容进行联络
  • 漏洞披露路由:为已针对 MCP 仓库提交私密安全公告、并需要帮助联系到合适维护者的报告者提供一个已知联系点

范围外

  • 授权协议机制:OAuth 流程、作用域、客户端注册和令牌处理属于 授权 IG 及其衍生的工作组
  • 传输层线缆安全:TLS、mTLS 和证书处理属于 Transports WG
  • 工具注解设计:注解模型本身属于 工具注解 IG。该组提供安全要求作为输入
  • 注册表服务运维:运行和保护托管的 Registry 服务属于 Registry WG。该组就来源证明和发布提供威胁输入
  • 产品特定的加固指南:面向单个宿主应用或云平台的逐步配置说明属于这些产品的文档,而非协议工作
  • 具有竞争敏感性或非公开的商业信息,依据 MCP 反垄断政策

相关组

  • 授权 IG:令牌混淆、受众不匹配以及元数据发现中的 SSRF 位于两个组的边界上
  • 工具注解 IG:信任与敏感性注解(SEP-1913)跨越两个组
  • 拦截器 WG:拦截器是此处暴露的运行时安全决策的主要强制执行点
  • Server Card WG / Registry WG:服务器身份、来源证明和发现元数据与接入和供应链相关问题相交
  • Transports WG:stdio 进程隔离和未认证的方法面
  • SDK 维护者:协调处理 SDK 安全公告以及跨 SDK 的安全默认设置

领导层

角色姓名组织GitHub任期
召集人Den DelimarskyAnthropic@localden初始
召集人Paul CarletonAnthropic@pcarleton初始

成员

姓名组织GitHubDiscord级别
Sam MorrowGitHub@SamMorrowDrumssammorrowdrums参与者
Ola HungerfordNordstrom@olaservoolaservo参与者
Peder Holdgaard PedersenSaxo Bank@PederHPpederhp参与者
Stefano OrtolaniBroadcom@ostefanoostefano.参与者
欢迎任何人加入。请加入 MCP Contributors Discord 中的 #security-ig 频道。会议对外开放,且非常鼓励积极参与。该组正在寻找愿意参与提案并帮助推动工作前进,而不只是旁观的贡献者。

运作

会议频率时长目的
办公时间每 2 周一次45 分钟威胁审查、提案分流、部署报告、WG 提案范围界定
每次会议前都会在 #security-ig 中共享议程。 Discord: #security-ig 会议记录会发布到 GitHub Discussions 中的 Meeting Notes - Security IG 分类下。

讨论主题

以下项目构成该 IG 当前的讨论议程。该列表并不详尽,会随着该组识别出新的兴趣领域而不断演进。
项目名称状态负责人
SEP-2809已证明的工具-服务器接入(ATSA)草案@metereconsulting
SDK 漏洞披露进行中召集人
运行时漂移:批准后的 list_changed 语义开放
供应链完整性:协议、注册表或配套标准开放
跨服务器的工具身份开放
能力声明:提示或契约(与 工具注解 IG 联合)开放

更新日志

日期变更
2026-06-13初始章程