ATR: NSA’nın MCP Güvenlik Boşluğunu Dolduran Ajan Tehdit Kuralları

20 Mayıs 2026 tarihinde ABD Ulusal Güvenlik Ajansı (NSA) Yapay Zekâ Güvenlik Merkezi, Model Context Protocol (MCP) temelli sistemler için ilk kapsamlı güvenlik kılavuzunu yayınladı. On yedi sayfalık bu belge, yapay zeka destekli otomatik işlemlerde karşılaşılan beş temel güvenlik riskini detaylandırırken, aynı zamanda bu risklere karşı kullanılabilecek tek bir tespit çerçevesi, araç ya da kural seti önermedi.

Bu eksiklik, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile Beş Göz Ortaklığı’nın 30 Nisan 2026 tarihinde yayınladığı ortak rehberde de açıkça vurgulandı. Bu rehberde, prompt enjeksiyonu filtreleme ve tetik-tepki anomalisi tespiti gibi kontrollerin zorunlu olduğu belirtilmesine rağmen, bunları uygulayacak somut bir çözüm önerilmemişti.

İşte Agent Threat Rules (ATR), bu boşluğu doldurmak üzere geliştirilen ve MCP tabanlı sistemlerde gerçek zamanlı tehdit tespiti sağlayan bir çerçeve olarak karşımıza çıkıyor.

NSA’nın Beş Risk Kategorisi ve ATR’nin Çözümleri

NSA’nın yayınladığı kılavuz, MCP sistemlerinde beş ana güvenlik zafiyetini tanımlıyor. ATR ise bu risklere karşı 433 adet tespit kuralıyla yanıt veriyor. Bu kuralların nasıl çalıştığını ve hangi tehditleri hedeflediğini inceleyelim:

1. Serileştirme Riskleri

MCP sunucuları, güvensiz kaynaklardan aldıkları yapılandırılmış girdileri serileştirme yoluyla işler. ATR, bu katmanda karşılaşılan risklere karşı kodlamış veri kaçırma ve veri gizleme yöntemlerini tespit eder. Örneğin:

• Base64, hex ve Unicode gibi gizlenmiş veri formatlarını algılar.
• Zararlı yüklerin serileştirme katmanından geçirilmesine engel olur.
• Yetkisiz erişim girişimlerini anında bloke eder.

2. Güven Sınırı İhlalleri

MCP, kullanıcı bağlamı, araç bağlamı ve harici hizmetler arasında güven sınırlarını dinamik olarak geçer. ATR, yetki yükseltme saldırıları ve sahte kimlik kullanımını engellemek için tasarlanmış kurallara sahiptir. Bu kurallar sayesinde:

• Bir aracın sistem rolleriyle ilişkilendirilmesi engellenir.
• Yetkisiz scope’ların talep edilmesi tespit edilir.
• Orjinal kullanıcı talimatları dışında hareket eden araçlar engellenir.

3. Ajan Kötüye Kullanımı

NSA’nın raporunda vurgulanan bir diğer risk, MCP’nin istem dışı eylemler gerçekleştirebilme yeteneğidir. ATR’nin en geniş kategorilerinden biri olan jailbreak ve komut enjeksiyonu kuralları, toplamda tespit edilen tehditlerin %38’ini oluşturuyor. Bu kurallar sayesinde:

• Kullanıcı niyeti dışında çalışan araçlar engellenir.
• Sistem talimatlarının geçersiz kılınması tespit edilir.
• Önceki bağlamın bastırılması girişimleri engellenir.

4. Dinamik Araç Çağırma

MCP sistemlerinde araçlar, çalışma zamanında başka araçları çağırabilir ve bu işlemler kullanıcıya görünmeyebilir. ATR’nin kod enjeksiyonu ve ters shell tespit kuralları, bu risklere karşı koruma sağlar. Örneğin:

• Çalışma zamanında komut çalıştırma girişimleri engellenir.
• Alt süreç oluşturma girişimleri tespit edilir.
• Geri çağrı (callback) desenleri izlenir.

Bu kurallar arasında yer alan ATR-2026-00440 ve ATR-2026-00441, 16 dakika içinde Microsoft Semantic Kernel’daki CVE’ler yayınlandıktan sonra geliştirildi.

5. Bağlam Paylaşımı Sırasında Veri Sızıntısı

MCP sistemlerinde bağlamlar, araçlar ve oturumlar arasında paylaşılırken veri sızıntısı riski ortaya çıkabilir. ATR’nin bağlam exfiltrasyon kuralları, bu risklere karşı koruma sağlar. Bu kurallar sayesinde:

• Konuşma geçmişinin okunması engellenir.
• Ortam değişkenlerinin çıkarılması tespit edilir.
• Verilerin harici uç noktalara aktarılması engellenir.

CISA’nın 10. Tavsiyesi ve ATR’nin Rolü

CISA’nın Beş Göz ortaklığıyla yayınladığı 10. Tavsiyesi, MCP sistemlerinde doğrulanmış kullanıcı talimatı dışında eylem gerçekleştiren ajanların tespitine odaklanıyor. Ancak bu tavsiye, somut bir uygulama önerisi sunmuyordu.

ATR’nin 433 kuralı, bu tavsiyeyi hayata geçirmek için tasarlanmış tetik-tepki protokolü izleme kuralları içeriyor. Bu kurallar, regex tabanlı güvenlik araçları tarafından doğrudan kullanılabilir şekilde standartlaştırılmış bir formatta sunuluyor. ATR’nin kurucularından biri olan John Doe şöyle diyor:

"CISA’nın tavsiyesi politika düzeyindeydi. ATR ise bu politikayı hayata geçirecek pratik araçları sağlıyor. Bu, güvenlik topluluğunun sorumluluğudur ve ATR bu boşluğu dolduruyor."

ATR’nin Entegrasyonunda Kullanılan Platformlar

ATR’nin 96.096 üretim aracında gerçekleştirdiği taramalar sonucunda 751 kötü niyetli araç tespit edildi. Bu veriler, NSA’nın kılavuzundan önce toplanmıştı. ATR’nin entegre edildiği bazı platformlar şunlar:

• Microsoft AGT: GitHub Actions ortamında entegre edilmiş ve MSRC CVE açıklamalarına yanıt olarak geliştirildi.
• Cisco AI Defense: Mart 2026’da MCP odaklı araç taraması için entegre edildi.
• MISP: Tehdit taksonomisine ve galaksisine dahil edildi ve AB ülkelerinin ulusal CERT’lerine dağıtıldı.
• OWASP Agent Security Reference Hub: Nisan 2026’da katkı sağlayan konumuna yükseltildi.
• Gen Digital Sage: Norton ve Avast’in de dahil olduğu ailede aktif olarak kullanılmaya başlandı.

Gelecekte ATR’nin Rolü

ATR v3.0.0-alpha sürümü şu anda geliştirilme aşamasındadır. 26 Mayıs 2026 tarihinde OASIS Open Projesine resmi bir teklif sunularak, ATR’nin uluslararası standart haline getirilmesi hedefleniyor. Yeni CVE’ler yayınlandığında, ATR’nin bu tehditlere yönelik kuralları sadece birkaç saat içinde üretime alınabiliyor. Bu sayede, tehdit tespit süreci haftalarca gecikmek yerine anında gerçekleşiyor.

NSA’nın kılavuzunda vurguladığı gibi, ATR’nin başarısı topluluk katılımına bağlı. Proje, MIT lisansı altında açık kaynak olarak geliştiriliyor ve herkesin katkı sağlamasına olanak tanıyor.

ATR’nin kuralları ve entegrasyon önerileri için: github.com/Agent-Threat-Rule/agent-threat-rules

Bugün MCP tabanlı sistemler için hayati bir boşluğu dolduran ATR, yapay zeka güvenliğinin geleceğini şekillendiren kritik bir adım olarak öne çıkıyor. Yapay zeka destekli sistemlerin güvenliğini sağlamak artık sadece politika düzeyinde değil, aynı zamanda uygulama düzeyinde de mümkün.