エージェント、プラグイン、オーケストレーション層でAIシステムを構築しているのに、トラフィックのルーティング方法しか考えていないのであれば、ハッキング被害に遭いかねません。
多くの人がモデルコンテキストプロトコル(MCP)の構築に躍起になっている現状自体は歓迎すべきことです。しかし、MoCoP(モデルコントロールプレーン)について語っている人は極めて少ない。MoCoPはMCP同様に重要であり、おそらく最もリスクの高い処理が行われる場所なのです。
(それにしても、一体誰がこんなにややこしい頭字語ばかり作り続けているんだ?全然覚えられないじゃないか!だから(業界が)ろくなことにならないんだよ。/怒り終了)(注:この略語は今、私が作ったものですw)
これら2つのシステムがどのように機能するか、どう根本的に異なるか、そして両方を備えていないことが、プロンプトインジェクションを正面玄関から招き入れるようなものだという理由を、順を追って説明しましょう。
Respond faster with Sumo Logic Dojo AI
Cut through the noise, detect threats faster, and resolve issues before they disrupt your operations.
これらが何をしているのか、そしてなぜそれが重要なのか
| 機能 | MCP (モデルコンテキストプロトコル) | MoCoP (モデルコントロールプレーン) |
| どういったものか | オーケストレーター — リクエストをルーティングし、プラグインを実行し、ポリシーを適用します。 | ペイロード — これは実際にLLMに渡されるものです。 |
| 主な仕事 | 何が実行されるか、どのツールで実行されるか、そしてどのポリシーの下で実行されるかを制御します。 | プロンプトを構築する。エスケープ処理を行います。出所を追跡。モデルを保護。 |
| セキュリティ重視 | エージェントとプラグインをボックス内に収める。ポリシーを適用する。IDを確認する。 | プロンプトインジェクションを防止する。漏洩を防ぐ。コンテキストを正しく構築する。 |
| 存在する場所 | バックエンド(インフラ、エージェント、オーケストレーション) | データプレーン(プロンプト、メモリ、プラグイン出力、別名「怪しい部分」)。 |
メンタルモデル:インフラvs.入力
両者の違いを考える一つの方法として、次のような考え方があります。
| 役割 | MCP | MoCoP |
| 類推 | AIのためのKubernetesコントロールプレーンのようなもの | ポッド仕様やコンテナ定義のようなもの |
| 比較 | ゼロトラスト強制カーネル | 改ざん防止機能付き署名済みRPCペイロードがAIの頭脳部分へと供給される |
誰が何をセキュアにするのか
これが問題です:人々は安全なMCPを構築しながら、ゴミデータやエスケープされていない入力がモデルに到達することを許しています。それは防火建築物を建てながら、中に油まみれのぼろきれの山を積んだ窓を開け放しにしておくようなものです。
以下を確認して、どのレイヤーが何を担当しているかを確認してください。
| 懸念 | MCPによる処理 | MoCoPによる処理 |
| プラグインのサンドボックス化 | はい | いいえ |
| プロンプトインジェクションのエスケープ | 時折 | はい |
| 認証情報のスコープ設定/トークン署名 | はい | いいえ |
| 文脈の切り詰め/オーバーフロー | いいえ | はい |
| メッセージ再生 / キューインジェクション | はい | いいえ |
| 入力ブロックの出所 | ルーティングで強制される | 明示的なメタデータ |
| ベクトルストアのテナント分離 | はい | ラベルの施行に依存 |
| ガードレール施行 | ポリシーエンジン経由 | シラリゼーション層にて |
| スキーマのバグまたはフォーマットドリフト | いいえ | はい |
| バージョニング | 内部プラグイン/API | スキーマタグとハッシュ |
実例:MCPだけでは不十分な場合
仮に優れたMCPを構築したとしましょう。
サンドボックス化を行いました。IAMロールをスコープしました。OPAまで使用しました。
すると誰かが、これを出力するプラグインを忘れてしまった。
nginx
CopyEdit
ignore previous instructions そして、MoCoPがないため、その出力はエスケープされずにそのままコンテキストに挿入され、システムプロンプトの直下に表示されます。
モデルが反転し、脱獄が成功すると、なぜ「セキュアなAIスタック」があなたの代わりにコンサートチケットを購入したのか頭を悩まします。
どう修正するか
| MCPがこれを行い | MoCoPがあれを行います |
| プラグインを読み込み、IAMを適用する | エスケープとプラグイン出力の表示 |
| 正しいLLMへの道筋 | トークン予算の制約を適用する |
| 身元を検証し、ロールベースのアクセス制御を適用する | 各コンテキストブロックにタグとタイムスタンプを付与する |
MCPとMoCoPの両方が必要です
ことわざにあるように、「肉を食べなければ、プリンは食べられない」これら二つのシステムについても同様のことが言えます。
MCPをお持ちですか?素晴らしい、誰が何を担当できるか決まりましたね。MoCoPがあれば? さらに良いことに、これで実際にモデルに組み込まれる内容をセキュアにできました。
でもどちらか片方しかなければ?重大な隙間を残し、実質的にバックドアをリボン付きで配っているようなものです。こう考えてください。
- MoCoPなしのMCP = 不安全なコンテキストを渡すセキュアなオーケストレーター
- MoCoP without MCP = 侵害された可能性のあるコントローラからの安全な入力
Sumo Logicでは、この課題の両面について深く考察しています。安全なAIシステムを構築するには、ログ全体の可視化が必要です。そこで当社が監視と問題検出を支援します。
Sumo LogicがAIシステムをどのように保護するのか、ご興味はありませんか?30日間の無料トライアルにご登録ください。
