Cisco gjør MCP-sikkerhet til agentkrav

Cisco flytter sikkerhet inn i selve byggefasen for AI-agenter. I en ny kunngjøring skriver selskapet at Cisco AI Defense blir innebygd direkte i Cisco Agent Builder, en del av Cisco Cloud Control Studio. Målet er at agentintegrasjoner, ferdigheter og kjøringer skal kontrolleres før de når produksjon.

Dette er mer enn en produktnyhet fra Cisco Live. Den peker på et skifte mange virksomheter kommer til å møte raskt: AI-agenter får tilgang til verktøy, API-er, identitetssystemer, driftsdata og interne arbeidsflyter. Da blir agentplattformen også en ny angrepsflate. Spørsmålet er ikke bare om modellen svarer riktig. Spørsmålet er hva agenten får lov til å gjøre, hvilke verktøy den stoler på, og hvem som oppdager det når verktøyet er forgiftet.

Cisco bruker SmartLoader som eksempel. Ifølge selskapet klonet angripere i februar 2026 en legitim Model Context Protocol-server som koblet AI-assistenter til Oura Ring-data. Den manipulerte versjonen ble sendt inn til legitime MCP-registre. Angriperne bygget falske GitHub-kontoer, konstruerte bidragsprofil og laget et nett av falske forks. En utvikler som lette etter en helsedataintegrasjon, kunne dermed ha installert legitimasjonstyvende skadevare uten et tydelig rødt flagg.

Poenget er ubehagelig enkelt. MCP-servere og agentverktøy begynner å ligne en app-butikk for AI-agenter. Gamle tillitssignaler som stjerner, forks og bidragsaktivitet kan fabrikeres. Manuell vurdering holder ikke når antallet integrasjoner vokser raskere enn sikkerhetsteamet kan lese kode og konfigurasjon.

Cisco svarer med fire porter i agentløpet. Før en tredjepartsintegrasjon blir tilgjengelig for byggeren, skal AI Defense skanne MCP-serverens kode, konfigurasjon, verktøydefinisjoner og dataflyt for sårbarheter, skadevare og forsyningskjederisiko. Integrasjoner som ikke består kontrollen, skal ikke vises for agentbyggeren.

Neste port kommer når agenten bygges. Cisco sier at agentkonfigurasjoner blir skannet hver gang en draft lagres. Kontrollen skal lete etter prompt injection-mønstre, risiko for datalekkasje og brudd på policy. Det er viktig fordi mange agentfeil ikke ligger i modellen alene, men i instruksjonene, verktøytilgangene og hvordan agenten setter sammen arbeid over flere steg.

Den tredje porten gjelder ferdigheter. Runbooks, prosedyrer, standarder og markdown-filer kan gjøres om til gjenbrukbare skills som agenten kan kalle ved behov. Cisco AI Defense Skill Scanner skal validere slike instruksjoner og opplastet innhold for fiendtlig tekst og eksponering av sensitive data før ferdighetene går i produksjon.

Den fjerde porten ligger i runtime. Cisco sier at AI Defense inspiserer hver LLM-kall og hver verktøykjøring i sanntid. Brukerinput skal kontrolleres for prompt injection og jailbreak-forsøk før det når modellen. Svar skal kontrolleres for datalekkasje, inkludert personopplysninger, legitimasjon og interne nettverksadresser, før de når brukeren. Policy Studio skal brukes til å lage guardrails som blokkerer handlinger og logger hendelsen i en kjøringssporlogg.

For norske CIO-er og CISO-er er dette et klart signal. Agentplattformen må inn i samme styringsregime som CI/CD, IAM og skyplattform. Hvis en agent kan opprette saker i ITSM, slå opp identiteter, lese driftsvarsler, kjøre kommandoer eller hente data fra SaaS-systemer, er verktøykjeden en del av virksomhetens kontrollmiljø.

Det holder ikke å spørre leverandøren om modellen er trygg. Styret bør spørre hvordan agentverktøy godkjennes, hvordan MCP-servere og tredjepartsintegrasjoner skannes, hvordan prompt injection håndteres i runtime, og om alle verktøykall kan spores til bruker, agent, policy og dataområde. Det bør også være mulig å trekke tilbake en integrasjon raskt, akkurat som en kompromittert npm-pakke eller et misbrukt OAuth-scope.

Cisco posisjonerer dette som en fordel ved å samle agentbygger og sikkerhet i samme plattform. Det kan gi færre integrasjonsgap og tydeligere ansvar. Samtidig bør kjøpere lese den lille skriften. Cisco skriver at enkelte produkter eller funksjoner kan være i ulike utviklingsfaser og tilbys når og hvis de blir tilgjengelige. Det betyr at sikkerhetsløftet må sjekkes konkret i avtale, arkitektur og pilot, ikke bare i presentasjonen.

Den praktiske konsekvensen er likevel tydelig. Agentprosjekter som går fra demo til produksjon trenger en egen kontrollmodell for verktøy, ferdigheter og kjøring. MCP gjør det enklere å koble agenter til verden. Det gjør også forsyningskjeden bredere. Den som slipper agenter inn i drift uten slike porter, importerer risiko raskere enn gevinst.

Kilder og medier

• Primærkilde: Cisco Blogs, "AI Agents Need Built-In Security. Here Is How Cisco Does It", publisert 3. juni 2026: https://blogs.cisco.com/ai/ai-agents-need-built-in-security-here-is-how-cisco-does-it
• Thumbnail: OpenAI Image 2 / hogby.ai