NSA advarer om MCP: AI-agentene må sikres som infrastruktur

USAs etterretningsorgan NSA gjør nå Model Context Protocol til et sikkerhetsspørsmål for alle som lar AI-agenter koble seg mot interne systemer.

NSA Artificial Intelligence Security Center publiserte 20. mai en veiledning om MCP, protokollen som mange AI-verktøy bruker for å la modeller snakke med databaser, utviklerverktøy, dokumentlagre og andre tjenester. Poenget er ikke at MCP må stoppes. Poenget er at organisasjoner ikke kan behandle det som en vanlig API-integrasjon.

Det er en viktig forskjell.

MCP er blitt en hurtigvei inn i virksomhetens mest følsomme arbeidsflater. NSA peker på bruk i produkter for næringsliv, finans, jus, programvareutvikling og andre bransjer. Byrået nevner også sensitive oppgaver som spørringer mot personopplysninger.

Når en agent får slike koblinger, er ikke risikoen lenger bare at modellen svarer feil. Risikoen er at den kan bruke feil verktøy, dele kontekst på feil sted, bygge tillit mellom systemer som aldri skulle hatt tillit, eller bli misbrukt gjennom svakheter i implementasjonen rundt protokollen.

NSA bruker et nøkternt språk, men meldingen er skarp: tradisjonelle kontroller som autentisering, autorisasjon og input-validering er nødvendige, men ikke nok. Agentiske AI-systemer med MCP introduserer nye og systemiske risiki. Byrået trekker frem dynamisk verktøykall, implisitte tillitsforhold og deling av kontekst som forhold etablerte sikkerhetsmodeller ikke dekker godt nok.

For norske CIO-er og CISO-er treffer dette rett i 2026-planene. Mange virksomheter går fra piloter til agentflyt i utvikling, kundeservice, analyse, saksbehandling og intern drift. Det er nettopp i overgangen fra demo til produksjon at MCP blir farlig hvis styringen er svak.

Agenten er ikke bare en bruker

Den vanlige IAM-modellen bygger på en ganske enkel idé: en person eller tjeneste får tilgang til noe, med et kjent formål og et kjent omfang. Agentmodellen er mer uklar.

En AI-agent kan hente data, tolke data, velge verktøy, kalle nye tjenester, skrive tilbake til systemer og sende kontekst videre. Den gjør det ofte på vegne av en bruker, men med en operasjonell fart og bredde som brukeren ikke har. Da holder det ikke å spørre om agenten er «logget inn».

Spørsmålene blir mer konkrete:

• Hvilke verktøy kan agenten kalle?
• Hvilke data kan den lese?
• Hvilke systemer kan den skrive til?
• Hvilken kontekst får den ta med seg mellom verktøy?
• Hvem eier handlingen når agenten gjør noe feil?
• Kan virksomheten rekonstruere hele hendelsesforløpet etterpå?

NSA beskriver MCP-miljøet som et kontinuum, ikke som isolerte endepunkter. Det er presist. En svak antakelse i én del av kjeden kan forplante seg til neste. En liten feil i grenseflaten mellom agent, MCP-server, datakilde og identitetslag kan bli en reell hendelse når agenten får arbeidsoppgaver med verdi.

Dette er styresak, ikke bare utviklerdetalj

MCP høres teknisk ut. Derfor er det lett å parkere temaet hos plattformteamet. Det er en dårlig idé.

Når agentene får tilgang til kontrakter, kundedata, kildekode, transaksjonsinformasjon, HR-data eller intern beslutningsstøtte, er dette styring av virksomhetsrisiko. Det berører tilgangsstyring, logging, dataminimering, leverandøransvar, hendelseshåndtering og revisjon.

Det betyr at ledelsen bør kreve en egen kontrollmodell for agenttilgang. Ikke bare en liste over hvilke AI-verktøy som er godkjent.

Minstekravet bør være:

• Agentidentitet adskilt fra menneskeidentitet, med egne roller og begrensninger.
• Verktøykatalog med eksplisitt godkjenning før en agent får nye handlinger.
• Kontekstgrenser som hindrer at data fra ett system brukes i et annet uten hjemmel.
• Full logging av verktøykall, datatilgang, svar og skriveoperasjoner.
• Menneskelig godkjenning for irreversible eller økonomisk sensitive handlinger.
• Regelmessig test av prompt injection, datalekkasje og feilaktig verktøybruk.
• Leverandørkrav som gjør MCP-servere, plugins og agentmiljøer reviderbare.

Dette er ikke overarbeid. Det er normal sikkerhetsstyring flyttet inn i et nytt grensesnitt.

Hvorfor saken haster

MCP har fått fart fordi den løser et reelt problem. Agentene blir først nyttige når de kan gjøre noe. De må kunne slå opp i dokumenter, hente data, åpne saker, lese kode, opprette pull requests og skrive tilbake til arbeidsverktøy. Uten verktøytilgang blir de dyre chatbokser.

Men verktøytilgang er også der risikoen starter.

NSA sier at adopsjonen i virkelige produkter har akselerert. Det er viktig. Dette handler ikke om en fremtidig standard i laboratoriet. Det handler om en protokoll som allerede dukker opp i enterprise-produkter og interne AI-prosjekter.

For norske virksomheter er lærdommen enkel: ikke la MCP snike seg inn som en utviklerbekvemmelighet. Behandle det som en del av sikkerhetsarkitekturen. Den som eier identitet, dataflyt og revisjon, må inn før agentene går i produksjon.

Hvis ikke kan virksomheten ende med en AI-agent som teknisk sett «bare» bruker godkjente verktøy, men som i praksis har fått en bredere fullmakt enn noen ansatt ville fått.

Hva ledelsen bør gjøre nå

Det første steget er en ærlig kartlegging. Hvilke AI-verktøy i virksomheten bruker MCP eller MCP-lignende koblinger? Hvilke av dem har tilgang til interne datakilder? Hvilke kan skrive, ikke bare lese? Hvilke kjører hos leverandøren, og hvilke kjører i virksomhetens eget miljø?

Deretter bør CIO og CISO lage en felles policy for agentkoblinger. Den bør være kort, teknisk nok og operasjonell. Forbud alene vil ikke fungere. Utviklere og fagmiljøer vil bruke agentverktøy fordi de sparer tid. Styringen må gjøre sikker bruk mulig, ikke bare treg.

Det NSA nå gjør, er å løfte MCP fra «smart integrasjon» til «AI-infrastruktur med sikkerhetskrav». Det er riktig nivå.

Neste fase i enterprise-AI handler ikke om hvem som har den peneste chatboten. Den handler om hvem som tør å gi agentene ansvar, og hvem som samtidig har kontroll nok til å tåle det.

Kilder og medier

• Primærkilde: National Security Agency, pressemelding 20. mai 2026: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4496698/nsa-releases-security-design-considerations-for-ai-driven-automation-leveraging/
• Rapport: «Model Context Protocol (MCP): Security Design Considerations for AI-Driven Automation», NSA Cybersecurity Information Sheet: https://www.nsa.gov/Portals/75/documents/Cybersecurity/CSI_MCP_SECURITY.pdf?ver=bmgiSbNQLP6Z_GiWtRt6bg%3d%3d
• Publiseringstid verifisert via Google News RSS: 20. mai 2026 kl. 15:20:35 UTC.
• Thumbnail: GPT/OpenAI Image 2 / hogby.ai.