mcp-fence – un proxy de sécurité qui inspecte dans les deux sens les requêtes et réponses des serveurs MCP

Quand un agent IA lit des fichiers ou appelle des outils via un serveur MCP, les réponses renvoyées par le serveur entrent dans le contexte sans vérification particulière. mcp-fence est un proxy de sécurité qui inspecte en temps réel à la fois les requêtes et les réponses.

J’ai fait moi-même l’expérience directe de cette architecture en créant nworks (serveur MCP NAVER WORKS). J’ai examiné 28 projets de sécurité MCP sur GitHub, et la plupart n’inspectaient que le trafic sortant sans regarder ce qui revenait. Je l’ai donc construit moi-même.

Après l’avoir développé, j’ai moi-même lancé un audit de sécurité. J’ai réussi à contourner complètement la détection avec des caractères qui semblent identiques à l’œil humain mais que l’ordinateur reconnaît comme différents, j’ai fait passer tous les contrôles en insérant des caractères transparents invisibles, et j’ai aussi trouvé un bug qui arrêtait complètement l’inspection de sécurité avec une entrée spéciale. Tout a été corrigé avant la sortie. Sur 1 426 tests, 630 sont des tests de sécurité adverses, avec un taux de détection de 86 % sur 13 vulnérabilités MCP connues. Selon l’OWASP MCP Top 10, il couvre 9 cas sur 10.

Il détecte les injections, les secrets, les PII et les injections de commandes, et repère aussi les rug-pull où la description d’un outil est modifiée en douce grâce au hash pinning. La détection repose sur des expressions régulières, donc une reformulation différente du même sens peut passer. La détection sémantique par ML est prévue pour la v1.x.

Par exemple, si vous utilisez le serveur MCP filesystem, il suffit de le placer devant.

npx mcp-fence start -- npx @modelcontextprotocol/server-filesystem /tmp  

Cela fonctionne avec cette seule ligne, sans avoir besoin de modifier le code du serveur existant. Par défaut, il ne fait qu’enregistrer les logs et ne bloque rien. Vous pouvez d’abord vérifier quel trafic circule, puis passer en mode blocage si tout vous convient.

C’est un projet réalisé seul en 10 semaines par un ingénieur ayant 9 ans d’expérience en sécurité mobile, il peut donc rester des points à améliorer. Merci d’avance pour vos retours.