Approfondimento operativo a corredo della sezione MCP sulla one-page. Aggiornato a maggio 2026. Stampabile in formato A4. Deep-linkable per CISO, Head of SecOps e auditor esterni che hanno bisogno del dettaglio completo.
Otto disclosure rilevanti tracciate. Aggiornamento continuo via threat intelligence. Il registro alimenta la review trimestrale della superficie MCP nei progetti CATALYST attivi.
Codificate negli hook deterministici del framework. Non sono raccomandazioni; sono gate machine-checkable. Niente progetto CATALYST scrive un MCP server o lo integra senza rispetto delle policy 01–04; le policy 05–07 sono obbligatorie per workload Annex III high-risk.
Anthropic registry · Linux Foundation MCP registry · registry self-hosted del cliente · vendor enterprise certificati. Mai server da repo personali o community non verificati. Verifica pre-install del manifest + SBOM via SCA pipeline.
Si preferisce HTTP-SSE con TLS 1.3 + OAuth 2.1 + PKCE. Quando STDIO è inevitabile (es. dev locale), il container è full-sandboxed con outbound network bloccato e capabilities ridotte (no NET_ADMIN, no SYS_PTRACE).
Ogni server MCP gira in container con permessi minimi, allowlist esplicita di endpoint, no shell access, filesystem read-only dove possibile. Egress controllato via egress policy (Cilium / Calico).
Per progetti enterprise: tutto il traffico LLM ↔ MCP passa da un gateway che centralizza autenticazione (mTLS), audit logging strutturato, rate limiting, schema validation. Niente connessioni dirette agente ↔ server esterno. Riferimenti operativi: MintMCP, Truto.
Per workload Annex III high-risk: guardrail di terze parti (Palo Alto Prisma AIRS, Capsule Security) sul flusso LLM ↔ tool ↔ response, con detection di prompt injection ed exfiltration. Inferenza in-band a costo accettato.
Logging di ogni invocazione MCP (server, tool, parametri, risultato, hash del contesto, prompt originario) in sistema SIEM-compatibile (Splunk / Elastic / OpenSearch). Retention 5+ anni allineata a DORA Art. 9 e AI Act Art. 12.
Trattata come classe di rischio SaaS, non come singola CVE. Aggiornamento continuo del registro via threat intelligence (CERT-AgID, OX Security, vendor disclosure). Review trimestrale della superficie MCP del progetto. Test red-team su tool con privilegi.
Anthropic ha rifiutato di patchare il difetto STDIO a livello di protocollo, definendo il comportamento “expected”. Implicazione operativa per workload regolati: STDIO MCP è untrusted by default.
MCP Gateway commerciali maturi: MintMCP, Truto. Runtime guardrail: Palo Alto Prisma AIRS, Capsule Security. Stack di hardening ricostruibile, non da inventare.
Nessuno dei competitor in ambito modernizzazione AI-driven (Anthropic Playbook, Google Mainframe Rewrite, AWS Transform, IBM Project Bob) dichiara una policy MCP equivalente. È una scelta di metodo esplicita del framework.