Whitepaper: MCP Security Control Plane, Vier Lagen, Eén Architectuur
Het Model Context Protocol (MCP) is in anderhalf jaar uitgegroeid tot de de facto standaard voor communicatie tussen AI-agents en tools, data en API's. Maar MCP is een interoperabiliteitsprotocol, geen security boundary. Deze whitepaper bundelt vier diepte-analyses die samen een complete MCP security control plane beschrijven: van protocolfundament tot endpoint-hardening.
De vier lagen
Laag 1, Protocol: NSA's Zero Trust Waarschuwing
Bronanalyse: NSA: MCP is Geen Security Boundary (6 juni 2026)
De National Security Agency publiceerde op 20 mei 2026 een Cybersecurity Information Sheet dat zes concrete MCP-exploits beschrijft die in het wild zijn aangetroffen. De kernboodschap: MCP koppelt probabilistische besluitvorming (LLM) aan deterministische tools en API's. Een foutieve interpretatie, promptinjectie of gecompromitteerde toolbeschrijving kan direct leiden tot datalekken, ongeautoriseerde transacties of code-uitvoering.
Wat organisaties moeten doen:
- Identiteit, autorisatie en policy enforcement als aparte laag om MCP bouwen
- Tool registry met minimale privileges per agent
- Transactieveiligheid: elke MCP-call moet verklaarbaar zijn (wie, wat, waarom, namens wie)
NIS2/BIO2-koppeling: MCP zonder control plane is een supply chain risico onder NIS2 art. 21. BIO2 vereist aantoonbare beheersing van externe koppelingen.
Laag 2, Governance: OWASP AIUC-1 Control Plane
Bronanalyse: OWASP Agentic Control Plane (26 mei 2026)
OWASP publiceerde de AIUC-1 Crosswalk die de AIUC-1 security/safety/reliability-standaard bidirectioneel mapt op de OWASP Agentic Top 10. Conclusie: AIUC-1 dekt governance en safety goed af, maar mist harde runtime-, identity-, tool-, supply-chain- en containment-controls die essentieel zijn voor agentic systemen.
De OWASP crosswalk identificeert acht controlefuncties: Identiteit, Tool Governance, Memory, Runtime, Data, Supply Chain, Cost, Human Oversight. MCP raakt ze alle acht.
Wat organisaties moeten doen:
- AI-register met per-agent risicoclassificatie (verboden, hoog-risico, transparantie)
- Control plane met tool registry, MCP-server attestation, OAuth2/OIDC scopes
- Runtime monitoring op gedragsdrift, cascading failures, goal hijacking
EU AI Act-koppeling: Art. 15 vereist cybersecurity voor hoog-risico AI. Een MCP control plane is het aantoonbare bewijs dat agent-tool interacties beheerst zijn.
Laag 3, Data: Oracle Poisoning op Kennisgrafen
Bronanalyse: Oracle Poisoning: 3 Nodes in 42 Miljoen (6 juni 2026)
Microsoft Research, UNSW Canberra, SAP en OWASP tonen aan: 3 nodes toevoegen aan een 42-miljoen-node knowledge graph is genoeg om negen AI-modellen van drie providers te laten concluderen dat SQL injection "gemitigeerd" is. Oracle Poisoning is de data-plane tegenhanger van prompt injection, en elk model faalt bij 100%.
Het paper demonstreert zes aanvalscenario's: phantom sanitiser, hallucinated dependency, poisoned evidence, call graph evasion, cross-agent contamination, en temporal trigger injection.
Wat organisaties moeten doen:
- Knowledge graph provenance: elke node moet herleidbaar zijn naar bron
- Cryptografische ondertekening van kritieke graaf-invoer
- Agent reasoning audit: niet alleen wát de agent concludeert, maar op basis waarvan
- Regelmatige integriteitscontroles op kennisgrafen die MCP-agents voeden
NIS2-koppeling: Supply chain security (art. 21 lid 2(c)) strekt zich uit tot data-leveranciers. Een gepoisonde kennisgraaf is een supply chain compromise.
Laag 4, Endpoint: Mitiga's MCP Token Theft
Bronanalyse: Claude Code MCP Token Theft (8 juni 2026)
Mitiga Labs demonstreert een aanvalsketen die ~/.claude.json als pivot gebruikt: npm postinstall hook → config rewrite → MCP MITM-proxy → OAuth token theft → persistent reseeding. De SaaS audit-log toont een geldige gebruiker vanaf Anthropic's vertrouwde egress. Er is niets fout, en niets goed.
Anthropic classificeert als out-of-scope (code execution op endpoint = game over). Mitiga betwist dit niet maar stelt: de impact overleeft code execution. Token rotation helpt niet. Provider-side detectie faalt.
Wat organisaties moeten doen:
- File integrity monitoring op
~/.claude.jsonen MCP-configuratiebestanden - npm lifecycle script governance:
--ignore-scriptsals default - OAuth hardening: aparte apps per tool, minimale scopes, korte levensduur
- SaaS behavioral detection: ongebruikelijke queries, bulk reads, afwijkende tijdstippen
- Egress allowlist voor MCP: geen dynamische endpoints, blokkeer localhost proxies
Compliance-koppeling: AI coding tools met SaaS-toegang vallen onder het AI-register dat organisaties straks moeten tonen aan hun sectorale toezichthouder onder de Uitvoeringswet AI-verordening.
De vijfde dimensie: Regulatoire context
Bronanalyse: Nederlands decentraal AI-toezicht (8 juni 2026)
De Uitvoeringswet AI-verordening kiest voor decentraal toezicht via tien bestaande sectorautoriteiten. AI coding tools die MCP gebruiken, vallen onder dit regime zodra ze als AI-systeem kwalificeren. Een MCP security control plane is niet alleen een technische noodzaak, het wordt een compliance-artifact dat u toont aan de AP, RDI, of uw sectorale toezichthouder.
De decentrale aanpak betekent dat één MCP-configuratiefout onder meerdere toezichthouders kan vallen. Een developer die met Claude Code een MCP-token lekt dat Jira én GitHub ontsluit, creëert een incident dat zowel onder de AP (AVG, als er persoonsgegevens in tickets staan) als de RDI (kritieke infrastructuur, als de code voor vitale systemen is) gemeld moet worden.
Geïntegreerd Control Plane Raamwerk
| Laag | Dreiging | Control | Compliance |
|---|---|---|---|
| Protocol | Tool injection, dynamic invocation | Tool registry, identity, policy enforcement | NIS2 art. 21, BIO2 |
| Governance | Goal hijacking, tool misuse, cascading failures | Runtime monitoring, human oversight, containment | EU AI Act art. 15 |
| Data | Oracle poisoning, hallucinated evidence | Provenance, signing, integrity checks | NIS2 supply chain |
| Endpoint | Config hijack, token theft, MITM proxy | FIM, egress allowlist, OAuth hardening | Uitvoeringswet AI |
Aanbevolen implementatievolgorde
- Week 1-2, Discovery. Inventariseer alle MCP-servers, endpoints, OAuth-tokens en configuratiebestanden. Breng per agent de tool scope in kaart. (P0)
- Week 3-4, Protocol hardening. Bouw een tool registry met minimale privileges. Implementeer identity en policy enforcement als aparte laag. (P0)
- Week 5-6, Endpoint hardening. File integrity monitoring op MCP-configuratie. npm lifecycle script governance. Egress allowlist voor MCP-verkeer. (P0)
- Week 7-8, Governance-laag. Runtime monitoring op gedragsdrift. Human oversight gates. AI-register met per-agent risicoclassificatie. (P1)
- Week 9-10, Data-laag. Knowledge graph provenance. Integriteitscontroles op MCP-gevoede databronnen. (P1)
- Doorlopend, Compliance. Koppel MCP control plane aan NIS2-dossier en AI Act-register. Periodieke audit met bovenstaande vier lagen als toetsingskader. (P1)
Gerelateerde bronnen
- NSA: MCP is Geen Security Boundary, Protocol-laag analyse
- OWASP Agentic Control Plane, Governance-laag analyse
- Oracle Poisoning op Kennisgrafen, Data-laag analyse
- Mitiga MCP Token Theft, Endpoint-laag analyse
- Nederlands Decentraal AI-toezicht, Regulatoire context
- Microsoft Agent Governance Model, Governance-toolkit
- OWASP Agentic AI Top 10, Dreigingslandschap
- NSA Zero Trust voor BIO2, Audit-raamwerk
Uw MCP security control plane bouwen? Plan een vrijblijvende kennismaking. Plan een kennismaking →
Download de whitepaper
Vul uw e-mailadres in voor directe toegang tot "MCP Security Control Plane" en schrijf u in voor de wekelijkse AI & Security Intelligence nieuwsbrief.
Geen spam. Afmelden kan altijd. Lees ons privacybeleid.