~/blog/backend-security-for-ai-agents-mcp-authentication-rate-limiting-2026.md
AI 自動化與智慧應用 · 2026 / 03 / 08 · 3 views

AI 代理人失控前必讀:在 MCP 架構中實作強大認證與頻率限制的後端資安防線

Eric — 浪花科技創辦人 / AI 架構師
Eric
浪花科技創辦人 · AI 架構師
AI 代理人失控前必讀:在 MCP 架構中實作強大認證與頻率限制的後端資安防線
目錄 table-of-contents.md

AWS 帳單比上個月多出一個零,追查下去才發現是某個 AI Agent 在無限迴圈裡重試同一支 API——這種「自己養的代理人把自己 DDoS」的事故,正在成為後端工程師的新日常。MCP 架構讓 AI 能直接呼叫工具,也讓認證與頻率限制從加分題變成生存題。本文實作一套涵蓋強大認證與 Rate Limiting 的後端資安防線,在代理人失控前把閘門裝好。

現在是 2026 年,Model Context Protocol (MCP) 已經成為 AI 與後端溝通的標準協定。我們不再寫那些笨重的 Custom Plugins,而是讓 LLM 透過 MCP 直接調用後端資源。這很酷,但也帶來了前所未有的資安噩夢。以前的使用者是人類,點擊速度有限;現在的「使用者」是每秒可以發出 50 個請求、而且會因為一個小錯誤就不斷暴力重試的 AI。

這篇文章不談虛無縹緲的理論,我們要來談實戰:構築 AI 代理人的後端資安防線:在 MCP 架構中實作強大認證與頻率限制。如果不把這道門關好,你的資料庫遲早會被這些不知疲倦的數位員工給拆了。

為什麼傳統的 API Key 在 MCP 時代已經不夠用了?

在 2024 年以前,我們習慣發一個 Bearer Token 給客戶端就覺得萬事大吉。但在 MCP 架構下,這種做法就像是把家裡大門鑰匙掛在門口一樣危險。為什麼?

  • 代理人的自主性(Autonomy): AI 代理人會根據上下文「決定」要呼叫哪個工具。如果它「幻覺」認為需要刪除資料來釋放空間,而你的 API Key 權限又給得太大,災難就發生了。
  • 憑證擴散風險: MCP 伺服器通常會被多個 Agent 共用,靜態的 API Key 很容易在 Prompt Injection 攻擊中被洩漏。

解決方案:實作基於簽章的請求驗證 (Signed Requests)

在 Laravel 環境中,我強烈建議拋棄單純的 Token,改用類似 HMAC 的請求簽章機制。這能確保請求不僅來自合法的 Agent,而且內容在傳輸過程中沒有被篡改。

我們需要在 Middleware 層實作一個檢查機制。這段程式碼雖然囉嗦,但卻是你的救命稻草:


// Laravel Middleware: VerifyMcpSignature.php

public function handle(Request $request, Closure $next)
{
    $signature = $request->header('X-MCP-Signature');
    $timestamp = $request->header('X-MCP-Timestamp');
    $body = $request->getContent();

    // 1. 防止重放攻擊 (Replay Attack)
    if (abs(time() - $timestamp) > 60) {
        return response()->json(['error' => 'Request timestamp expired'], 401);
    }

    // 2. 驗證簽章
    $expectedSignature = hash_hmac('sha256', "$timestamp.$body", config('mcp.secret'));

    if (!hash_equals($expectedSignature, $signature)) {
        // 記錄惡意嘗試
        Log::warning('Invalid MCP Signature detected from IP: ' . $request->ip());
        return response()->json(['error' => 'Invalid Signature'], 403);
    }

    return $next($request);
}

這段程式碼確保了即使有人攔截了封包,也無法重送請求(因為時間戳記會過期),也無法修改參數(因為簽章會不符)。這對於防止 AI 被中間人攻擊注入惡意指令至關重要。

頻率限制(Rate Limiting):不能只算「次數」,要算「成本」

傳統的 Rate Limit 是「每分鐘 60 次請求」。這對人類很公平,但對 AI 來說毫無意義。一個 GET /status 的請求跟一個 POST /generate-report (會跑 30 秒 SQL) 的請求,對伺服器的負擔天差地遠。

AI 代理人的一個特點是:它不懂得「累」。當它卡住時,它會瘋狂重試。如果你的限制機制不夠聰明,你的資料庫 CPU 會瞬間飆到 100%。

實作權重式限流 (Weighted Rate Limiting)

在 MCP 架構中,我們應該針對不同的 Tool 定義不同的「消耗點數」。這就是我在這篇關於 API Rate Limit 防護網 文章中提到的觀念延伸。

在 Laravel 11+ (或是我們現在用的 2026 版本) 中,你可以這樣定義 Rate Limiter:


// AppServiceProvider.php

RateLimiter::for('mcp_agents', function (Request $request) {
    // 根據請求的工具類型決定消耗點數
    $cost = match ($request->route()->getName()) {
        'mcp.analyze_data' => 50,  // 高消耗操作
        'mcp.list_users' => 5,     // 低消耗操作
        default => 10,
    };

    // 每個 Agent 每分鐘擁有 1000 點額度
    return Limit::perMinute(1000)->by($request->user()->id)->response(function() {
        return response()->json([
            'error' => 'Agent Quota Exceeded',
            'retry_after' => 60
        ], 429);
    }, $cost);
});

這樣一來,如果 Agent 試圖連續執行高運算分析,它會更快被擋下來,保護你的後端資源不被耗盡。

斷路器模式 (Circuit Breaker):防止代理人發瘋

這是 Eric 的血淚經驗談。曾經有個 Agent 因為 Prompt 寫得不好,陷入了死迴圈:查詢 A -> 失敗 -> 重試 A -> 失敗... 無限循環。Rate Limit 擋得住一時,但擋不住它每分鐘都來「頂滿」你的額度。

我們需要一個「斷路器」。當某個 Agent 在短時間內產生過多的 4xx 或 5xx 錯誤時,直接在 Cache 層把它封鎖 10 分鐘,連 Controller 都不讓它進。


// 在 Middleware 中實作簡易斷路器

$errorKey = 'agent_errors:' . $agentId;
$lockoutKey = 'agent_lockout:' . $agentId;

if (Cache::has($lockoutKey)) {
    return response()->json(['error' => 'Agent is temporarily locked out due to instability'], 429);
}

$response = $next($request);

if ($response->status() >= 400) {
    Cache::increment($errorKey);
    // 如果 5 分鐘內錯誤超過 20 次,封鎖 10 分鐘
    if (Cache::get($errorKey) > 20) {
        Cache::put($lockoutKey, true, 600);
        Cache::forget($errorKey);
    }
}

return $response;

沙盒與最小權限原則

最後,別忘了最基本的原則:最小權限 (Least Privilege)。你的 MCP Server 不應該只有一個「超級管理員」帳號。每個連入的 Agent 應該根據它的任務,分配不同的 Scopes。

如果你的 Agent 只需要讀取訂單狀態,千萬別給它 write 權限。Google 的 Antigravity Secure Mode 就是這方面的典範,它強制將 AI 的操作限制在一個受控的沙盒環境中。

總結

在 2026 年,構築 AI 代理人的後端資安防線不再是選修課,而是必修課。我們面對的不再是偶爾手滑的人類用戶,而是以光速犯錯的 AI 代理人。透過簽章驗證確保身份、權重式限流控制成本,以及斷路器機制防止失控,我們才能在享受 MCP 帶來的便利時,晚上還能睡個安穩覺。

技術在變,但資安的核心不變:永遠不要信任客戶端傳來的資料,即便那個客戶端是你看著長大的 AI。

推薦閱讀

如果你的企業正在導入 AI Agent,卻發現後端資安架構跟不上,或者你的伺服器已經快被自家的 AI 給弄掛了,歡迎隨時聯繫我們。浪花科技擁有最前線的 MCP 開發與資安防護經驗。

準備好為您的 AI 代理人打造銅牆鐵壁了嗎?

立即聯繫浪花科技,諮詢企業級 AI 資安方案

延伸閱讀

// FAQ

常見問題

為什麼傳統的 API Key 在 MCP 架構下已經不夠安全?
AI 代理人具自主性,會依上下文自行決定調用哪個工具,若 API Key 權限過大,一旦它判斷錯誤就可能造成災難。此外 MCP 伺服器常被多個 Agent 共用,靜態 API Key 容易在 Prompt Injection 攻擊中被洩漏。建議改用 HMAC 等基於簽章的請求驗證。
如何用請求簽章防止重放攻擊與內容竄改?
在 Middleware 層驗證 timestamp 與簽章:先檢查時間戳是否在容許範圍內(例如 60 秒),過期即拒絕,可防重放攻擊;再用 hash_hmac 以時間戳加請求內容算出預期簽章,並用 hash_equals 與請求帶來的簽章比對,不符即拒絕。如此即使封包被攔截,既無法重送也無法修改參數。
對 AI 代理人做頻率限制,為什麼不能只算請求次數?
因為一個輕量的 GET 請求和一個會跑 30 秒 SQL 的重操作,對伺服器負擔天差地遠。應採權重式限流,針對不同 Tool 定義不同消耗點數(例如資料分析消耗 50 點、列出使用者消耗 5 點),讓高運算操作更快被擋下,保護後端資源不被耗盡。
什麼是斷路器模式,它如何防止 AI 代理人發瘋?
斷路器用來阻擋陷入死迴圈、不斷暴力重試的代理人。作法是統計某個 Agent 在短時間內產生的 4xx/5xx 錯誤,當錯誤超過門檻(例如 5 分鐘內超過 20 次)就直接在 Cache 層把它封鎖一段時間(如 10 分鐘),連 Controller 都不讓它進,避免它每分鐘頂滿額度拖垮系統。
保護 MCP 後端為什麼要落實最小權限原則?
MCP Server 不應只有一個超級管理員帳號。每個連入的 Agent 應依其任務分配不同的 Scopes,例如只需讀取訂單狀態的 Agent 就不該給予寫入權限。將 AI 操作限制在受控的沙盒環境中,能在 Agent 判斷錯誤時把損害降到最低。
~/roamer-tech/newsletter // FREE
// newsletter

訂閱免費電子報

把 AI 自動化、企業系統設計與 WordPress / Laravel 開發的真實案例和可直接照做的技巧,整理成電子報寄給你。只寄精選內容、不灌垃圾信,一鍵就能退訂。

$
// final.exec()

準備好讓你的網站開始為你工作了嗎?

免費 30 分鐘諮詢 → 看作品