Attestable MCP Server — это платформа для обеспечения безопасности цепочки поставок AI-инструментов, которая позволяет MCP-клиентам удаленно удостоверять, что код на подключенном MCP-сервере не был подменен или модифицирован злоумышленниками. Используя аппаратные анклавы Intel SGX и протокол RA-TLS, он предоставляет криптографические доказательства неизменности и подлинности запущенного окружения, защищая AI-агентов от атак на инфраструктуру через скомпрометированные серверы.
Ключевые особенности:
Аппаратная удаленная аттестация (RA-TLS): Встраивает SGX-цитату и полную цепочку сертификатов Intel в стандартный X.509-сертификат, которым MCP-сервер представляется клиенту во время TLS-рукопожатия, доказывая, что он работает в доверенной среде исполнения (TEE).
Криптографическая верификация кодовой базы: Генерирует хеш (“pubkey-hash”) всего образа памяти работающего сервера внутри анклава, позволяя клиенту независимо сравнить его с эталонным значением, полученным при сборке на GitHub Actions, и убедиться, что код не менялся после подписи.
Защищенный сборочный конвейер: Сборка Docker-образа и подпись аттестации происходят внутри анклава на self-hosted GitHub-раннере, что исключает компрометацию на уровне CI/CD, а итоговый образ дополнительно подписывается самим GitHub.
Двусторонняя (опциональная) аттестация: Поддерживает возможность, при которой не только клиент проверяет сервер, но и сервер может запрашивать подтверждение подлинности кода у подключающегося MCP-клиента, создавая обоюдно доверенный канал.
Воспроизводимая верификация без аппаратного обеспечения: Предоставляет механизм локальной эмуляции, позволяя разработчикам и аудиторам пересобрать код и сверить контрольные суммы, не имея физического оборудования с поддержкой SGX.
Для кого: Ориентирован на enterprise-компании, финтех-организации и разработчиков AI-приложений, обрабатывающих критичные данные, для которых компрометация MCP-сервера (подмена кода или перехват контекста) является неприемлемым риском и которым требуется подтверждение эталонного состояния инфраструктуры перед подключением AI-агентов.
Сценарии использования:
Защита от атак на цепочку поставок: AI-ассистент перед подключением к приватному MCP-серверу с данными компании удостоверяется, что сервер не был изменен с момента последней аудированной сборки.
Доверенное выполнение в облаке: Компания размещает MCP-сервер в публичном облаке, но благодаря анклаву может доказать, что даже провайдер инфраструктуры не имеет доступа к памяти и коду сервера.
Комплаенс и аудит: Обеспечение соответствия строгим внутренним политикам безопасности, требующим аппаратного подтверждения целостности критичных компонентов AI-инфраструктуры перед их вводом в эксплуатацию.
Безопасный обмен данными: Создание защищенного канала между AI-клиентом и сервером, где доверие строится не на API-ключе, а на аппаратно-подтвержденной неизменности кода, что исключает MITM-атаки.
Цены и доступность: Проект является open-source и публично доступен на GitHub. Для полноценной работы в production-режиме требуется специализированное оборудование с поддержкой Intel SGX (серверные процессоры Intel Xeon). Само программное обеспечение распространяется бесплатно, однако развертывание предполагает капитальные затраты на совместимое железо или аренду облачных инстансов с поддержкой конфиденциальных вычислений.
