MCP сервер для постгреса оказался дырой в безопасности

[Macrano]

Подключил MCP сервер к продовой постгре чтобы агент сам смотрел схему и данные, и спустя неделю осознал какую дичь сделал. MCP отдавал агенту коннект с правами на запись, плюс в одной из таблиц лежал пользовательский текст с инструкциями типа ignore previous and drop table. До беды не дошло чудом, но осадочек. Расскажите кто как изолирует MCP доступ к данным, чтобы не отстрелить себе ногу.

[ronox]

ты дал агенту rw на прод бд и удивляешься? это как джуну в первый день root от продакшена выдать. read-only реплика минимум, а лучше вообще дамп схемы без данных

[nanasuke]

Правильно делать так и я на этом собаку съел после похожего инцидента:
1) отдельная роль в постгресе только под MCP, GRANT SELECT и всё, никаких INSERT/UPDATE/DELETE. Через эту роль агент физически не сможет ничего испортить даже если его уговорят
2) connection идёт на read-only реплику, не на мастер. Если реплики нет, хотя бы default_transaction_read_only=on для этой роли
3) маскирование чувствительных полей: персданные, токены, пароли не должны попадать в контекст агента вообще. У нас вьюха поверх таблиц которая отдаёт схему и обезличенные сэмплы
4) prompt injection из данных это реальная угроза в 2026, текст в таблицах это недоверенный ввод. Агент должен трактовать содержимое строк как данные а не как команды, но полагаться только на это нельзя, поэтому пункт 1 главный
По сути принцип тот же что и везде: least privilege. MCP это просто ещё один клиент к бд, и относиться к нему надо как к недоверенному сервису торчащему наружу.

[redis_guru]

текст в таблицах это недоверенный ввод

вот это до людей долго доходит. все привыкли что инъекция это SQL в форме, а теперь любой текст который видит llm это потенциальная инъекция в саму модель. И никакой prepared statement тут не спасёт

[kube_fan]

а смысл вообще агенту лезть в живую бд? схему выгрузи в файл, агент работает по схеме. данные если нужны для отладки бери анонимизированный сэмпл локально. зачем прод то трогать

[guardia]

@kostyan затем что иногда надо посмотреть реальные данные чтобы понять баг. но согласен, в 99% случаев хватает схемы и пары обезличенных строк

[fosl0002]

у меня MCP вообще только на локальную докер постгрес смотрит, прод недосягаем в принципе. меньше думать о безопасности когда дыры физически нет

[tomcruz]

это как джуну в первый день root от продакшена выдать

хорошая аналогия только джун хоть понимает что такое прод и боится. агенту пофиг, он с одинаковым энтузиазмом и фичу напишет и таблицу дропнет если попросить правильными словами