MCP Sandbox : Exécutez des serveurs MCP dans des conteneurs isolés sans leur faire confiance

✍️ OpenClawRadar📅 Publié: March 30, 2026🔗 Source
MCP Sandbox : Exécutez des serveurs MCP dans des conteneurs isolés sans leur faire confiance
Ad

Un développeur a créé MCP Sandbox, un outil qui aborde les préoccupations de sécurité lors de l'exécution de serveurs MCP (Model Context Protocol) en les exécutant dans des conteneurs isolés plutôt qu'en leur faisant directement confiance. L'approche par défaut actuelle, qui consiste à exécuter des serveurs MCP en espérant le meilleur, présente des risques puisque ces serveurs sont du code qui peut contenir des CVE, des portes dérobées, des capacités d'exfiltration de données ou des vulnérabilités d'injection de prompt.

Fonctionnalités de sécurité clés

MCP Sandbox met en œuvre plusieurs mesures de sécurité :

  • Exécute les serveurs MCP dans des conteneurs isolés en utilisant gVisor
  • Ne fournit aucun accès direct à votre système hôte
  • Met en œuvre un accès réseau contrôlé avec une politique de refus par défaut
  • Injecte les secrets en toute sécurité sans les exposer au code du serveur
Ad

Validation avant exécution

Avant qu'un serveur MCP ne s'exécute, le système effectue plusieurs vérifications :

  • Analyse le code pour détecter les CVE connus
  • Vérifie par rapport à des millions de modèles d'échec réels
  • Valide le code avant l'exécution

Le système continue de revérifier au fil du temps à mesure que de nouvelles vulnérabilités sont découvertes.

Disponibilité et développement

L'outil est en cours de développement dans le cadre de mistaike.ai, sans financement externe. L'analyse CVE est actuellement gratuite, et le développeur permet une utilisation complète du système tout en déterminant les limites d'utilisation. Le développeur sollicite les retours des personnes travaillant avec MCP et les agents IA sur la manière dont elles gèrent actuellement les outils non fiables.

Cette approche inverse le modèle de sécurité : au lieu de faire confiance aux serveurs MCP, on les exécute dans un environnement sandboxé où leurs actions sont contraintes et surveillées.

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

Plugin de sécurité Claude Code : Intégrer la sécurité applicative dans le flux de travail du développeur
Security

Plugin de sécurité Claude Code : Intégrer la sécurité applicative dans le flux de travail du développeur

Anthropic a lancé un plugin de conseils de sécurité pour Claude Code qui identifie et corrige les vulnérabilités pendant le codage. Disponible pour tous les utilisateurs via la place de marché des plugins, pas seulement Enterprise. Discussion pour savoir s'il devient un assistant léger, une couche sérieuse d'AppSec ou un pont vers Claude Security.

OpenClawRadar
Isolement des agents IA avec WebAssembly : Autorité zéro par défaut
Security

Isolement des agents IA avec WebAssembly : Autorité zéro par défaut

Cosmonic soutient que le sandboxing traditionnel (seccomp, bubblewrap) échoue pour les agents IA à cause de l'autorité ambiante. Le modèle basé sur les capacités de WebAssembly accorde zéro autorité par défaut, nécessitant des importations explicites pour le système de fichiers, le réseau ou les identifiants.

OpenClawRadar
Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw
Security

Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw

MCPwner, un serveur MCP qui orchestre des agents d'IA pour des tests de pénétration automatisés, a identifié plusieurs vulnérabilités critiques de type 0-day dans OpenClaw, notamment des injections de variables d'environnement, des contournements de permissions et des failles de divulgation d'informations que les scanners standards ont manquées.

OpenClawRadar
Utilisation de FastAPI Guard pour sécuriser les instances OpenClaw contre les attaques
Security

Utilisation de FastAPI Guard pour sécuriser les instances OpenClaw contre les attaques

FastAPI Guard fournit un middleware qui ajoute 17 contrôles de sécurité incluant le filtrage d'IP, le blocage géographique, la limitation de débit et la détection d'intrusion. L'outil bloque des attaques comme celles documentées dans les audits de sécurité OpenClaw montrant 512 vulnérabilités et plus de 40 000 instances exposées.

OpenClawRadar