Standardy bezpieczeństwa i zgodność

Twój audyt SOC 2 Type II jest za trzy tygodnie. Audytor chce dowodów, że kod wygenerowany przez AI jest przeglądany przed wdrożeniem, że żadne PHI klientów nie wycieka do dostawcy modelu i że serwery MCP, które twój zespół zainstalował w poprzednim sprincie, nie wyprowadzają po cichu plików. Tymczasem twoi programiści mergują PR-y napisane przez Cursora i Claude Code trzy razy szybciej niż rok temu. Kontrole muszą za tym nadążyć, nie stając się wąskim gardłem, które wszyscy omijają.

Ten artykuł pokazuje konkretne elementy, które czynią programowanie wspomagane przez AI audytowalnym: włączenie powierzchni audytu/telemetrii, które te narzędzia faktycznie udostępniają, skanowanie serwerów MCP pod kątem nękających je ryzyk łańcucha dostaw oraz wymuszanie bramek przeglądu i polityk w CI, tak aby zgodność była zaliczonym testem, a nie kwartalnym gaszeniem pożaru.

Co z tego wyniesiesz

• Realna konfiguracja audytu i telemetrii dla Cursora, Claude Code i Codeksu — żadnych wymyślonych kluczy ustawień
• Działające skanowanie łańcucha dostaw MCP przy użyciu Snyk Agent Scan (dawniej Invariant MCP-Scan), podłączone do wszystkich trzech narzędzi
• Prompt do skopiowania, który tworzy uruchamialny zestaw reguł Semgrep dla ustaleń OWASP na konkretnym stacku
• Bramkę Open Policy Agent (Rego), która blokuje nieprzeglądnięte migracje bazy danych wygenerowane przez AI w CI
• Sekcję trybów awarii pokrywającą pułapki, które audytorzy i zespoły red team faktycznie znajdują

Gdzie narzędzia AI dotykają twojej granicy zgodności

Trzy powierzchnie liczą się dla audytu:

• Wyciek danych (egress). Twoje prompty zawierają kod źródłowy, a czasem sekrety. Dla poufności SOC 2 i HIPAA potrzebujesz udokumentowanej polityki zerowej retencji z każdym dostawcą. Tryb prywatności (Privacy Mode) i plan Enterprise Cursora gwarantują zerową retencję danych (zobacz trust.cursor.com); Anthropic i OpenAI oferują to samo dla poziomów API i enterprise. Udokumentuj, w jakim trybie działa każde narzędzie — ten dokument jest dowodem kontroli.
• Ścieżka audytu. Musisz móc pokazać, kto co uruchomił. Każde narzędzie udostępnia inny mechanizm (poniżej). Żadne z nich nie ma magicznej flagi audit_logging: true — prawdziwe powierzchnie to OpenTelemetry, opakowywanie komend powłoki i logi administracyjne platformy.
• Łańcuch dostaw. Serwery MCP działają z uprawnieniami twoich narzędzi. W ocenie Equixly z 2025 roku popularnych implementacji serwerów MCP open-source 43% zawierało luki command injection, 30% pozwalało na nieograniczone pobieranie URL, a 22% przeciekało pliki poza zamierzone katalogi. Traktuj każdy serwer MCP jak niezweryfikowaną zależność.

Włączanie dowodów audytu

To jest część, którą większość zespołów psuje, wklejając klucze konfiguracji, które nie istnieją. Oto, co każde narzędzie faktycznie wspiera.

Claude Code

Claude Code nie ma ustawienia audit_logging. Obserwowalność to OpenTelemetry, a audyt na poziomie komend to prefiks powłoki. Włącz oba w ~/.claude/settings.json (managed settings na kontrolowanym hoście dla enterprise):

{
  "env": {
    "CLAUDE_CODE_ENABLE_TELEMETRY": "1",
    "OTEL_METRICS_EXPORTER": "otlp",
    "OTEL_LOGS_EXPORTER": "otlp",
    "OTEL_EXPORTER_OTLP_ENDPOINT": "https://otel-collector.internal:4317",
    "CLAUDE_CODE_SHELL_PREFIX": "/usr/local/bin/audit-logger.sh"
  }
}

CLAUDE_CODE_ENABLE_TELEMETRY=1 strumieniuje metryki i logi do twojego kolektora (a stamtąd do SIEM); CLAUDE_CODE_SHELL_PREFIX opakowuje każdą komendę Bash, więc audit-logger.sh <command> ją rejestruje. Ten log komend jest twoim dowodem dostępu/aktywności dla SOC 2.

Cursor

Cursor nie udostępnia kluczy cursor.audit.* ani cursor.compliance.* na poziomie użytkownika — zgodność jest na poziomie platformy. Twój dowód pochodzi z planu Enterprise i Trust Center, a nie z pliku JSON:

• Privacy Mode / zerowa retencja danych — wymuś w całej organizacji, tak aby żaden kod nie był przechowywany ani używany do trenowania. To jest twoja kontrola obsługi danych.
• SSO + SCIM do provisioningu oraz analityka/audyt administracyjny w panelu zespołu — twój dowód kontroli dostępu i aktywności.
• Atestacje SOC 2 Type II + GDPR oraz lista subprocesorów na trust.cursor.com — dołącz je do swojego pliku zarządzania dostawcami.

Udokumentuj „Cursor Enterprise, wymuszony Privacy Mode, SSO przez Okta” jako kontrolę; raport Trust Center jest dowodem od strony trzeciej.

Codex

Audyt Codeksu mieszka w ~/.codex/config.toml (zarządzany centralnie dla zespołów). Nie ma klucza logowania audytu; ograniczasz i rejestrujesz zachowanie przez sandbox i politykę zatwierdzania oraz własny wrapper powłoki:

# Domyślnie blokuj egress sieciowy i zapisy poza workspace
sandbox_mode = "workspace-write"
approval_policy = "on-request"

[sandbox_workspace_write]
network_access = false

Połącz to z historią uruchomień Codex Cloud per zadanie (każde zadanie Cloud jest logowane wraz z diffem i wyjściem komend), aby uzyskać ślad aktywności. Dla twardej granicy egressu uruchamiaj CLI wewnątrz kontenera, którego ruch wychodzący jest logowany na warstwie sieciowej.

Notatka

Żadne z tych narzędzi nie jest produktem do zgodności. Kontrolą jest twoja udokumentowana decyzja plus dowód, który narzędzie emituje. Audytorzy akceptują „telemetria do Splunk + wymuszony Privacy Mode + podpisany BAA”, a nie zrzut ekranu z flagą ustawień.

Skanowanie serwerów MCP, zanim im zaufasz

Zanim jakikolwiek serwer MCP trafi na maszynę programisty, przeskanuj go. Narzędziem do użycia jest Snyk Agent Scan (dawny Invariant Labs MCP-Scan, obecnie utrzymywany przez Snyk). Działa przez uvx — to narzędzie w Pythonie, więc nie instaluj go przez npm install.

1. Przeskanuj konfigurację kandydującego serwera (lub cały twój mcp.json) pod kątem wzorców tool-poisoning, prompt-injection i toxic-flow:

   uvx snyk-agent-scan@latest ~/.cursor/mcp.json

   Starszy punkt wejścia uvx mcp-scan@latest nadal działa — to teraz przekierowanie, które instaluje snyk-agent-scan i przekazuje CLI.

2. Przeczytaj ustalenia. Oznaczony serwer może pokazać nieograniczone narzędzie fetch, które przyjmuje dowolne URL-e, albo opis narzędzia zawierający ukryte instrukcje (atak tool-poisoning). Nie instaluj go, dopóki to nie zostanie rozwiązane.

3. Zarejestruj sam skaner jako serwer MCP, aby agent mógł skanować ponownie na żądanie:

Claude Code

claude mcp add security-analyzer -- uvx snyk-agent-scan
claude mcp list

Cursor

Dodaj go w Settings → MCP → Add Server albo edytuj ~/.cursor/mcp.json bezpośrednio, tak aby konfiguracja była przeglądalna w systemie kontroli wersji:

{
  "mcpServers": {
    "security-analyzer": {
      "command": "uvx",
      "args": ["snyk-agent-scan"],
      "env": { "SNYK_TOKEN": "${SNYK_TOKEN}" }
    }
  }
}

Zużywany jest tylko SNYK_TOKEN (do uwierzytelnionych skanów) — nie wymyślaj tutaj SECURITY_SCAN_MODE ani SEMGREP_APP_TOKEN. Uruchamiaj Semgrep jako osobny krok (poniżej), a nie jako zmienną środowiskową na skanerze.

Codex

codex mcp add security-analyzer -- uvx snyk-agent-scan

Albo zadeklaruj go w ~/.codex/config.toml:

[mcp_servers.security-analyzer]
command = "uvx"
args = ["snyk-agent-scan"]

Wskazówka

Prompt do skopiowania, aby przeprowadzić triage oznaczonego serwera MCP przed zatwierdzeniem go dla organizacji:

I ran `uvx snyk-agent-scan` against our mcp.json and it flagged the
`web-tools` server for an unrestricted URL-fetch tool and a tool
description containing instructions to read ~/.aws/credentials.

1. Explain the concrete attack: how a malicious page or tool description
   could turn this into data exfiltration through our agent.
2. Tell me whether this server can be safely sandboxed (allowlisted
   domains, no filesystem scope) or must be rejected outright.
3. If salvageable, give me the exact mcp.json entry that pins it to an
   allowlist and drops filesystem access. If not, say so plainly.
Do not soften the risk to make the server usable.

Generowanie realnych reguł skanowania, a nie dokumentów

Sensem AI jest tutaj tworzenie artefaktów gotowych do wdrożenia — zestawu reguł, poprawki, pliku polityki — a nie dokumentu Worda, który je opisuje. Zakotwicz prompty w konkretnym stacku, aby wynik dało się uruchomić.

Wskazówka

Prompt do skopiowania dla zestawu reguł Semgrep skoncentrowanego na OWASP dla API w Express + Postgres:

This is a Node.js 22 / Express 5 API using the `pg` library with raw SQL
in src/db/*.ts and JWT auth middleware in src/middleware/auth.ts.

Write a runnable Semgrep rule file (semgrep --config ./owasp.yaml .) that
flags, for THIS codebase specifically:
- string-concatenated SQL passed to pg.query (SQL injection)
- routes that read req.body fields straight into a DB write without a
  zod/validator schema (mass assignment)
- res.json that includes a raw Error object or stack (info disclosure)
- jwt.verify calls that don't pin algorithm to RS256/HS256

For each rule give id, severity, message, and a fix suggestion. Then show
one example finding from a plausible src/db/users.ts and the corrected
parameterized query.

Wskazówka

Prompt do skopiowania dla przeglądu jednego PR skoncentrowanego na bezpieczeństwie (wklej diff albo uruchom wewnątrz narzędzia na gałęzi):

Do a security review of this PR for our Express + Postgres API. For each
changed file, check: input validation on every new req param, parameterized
queries (flag any string-built SQL), authorization on new routes (not just
authentication), secrets/PII in logs or error responses, and any new
dependency's known CVEs.

Output a table: file, line, OWASP category, severity (CVSS), and a concrete
code fix. End with a one-line verdict: SHIP, SHIP WITH FIXES, or BLOCK, and
which of our SOC 2 change-management controls this PR touches. Be specific;
no generic 'validate inputs' advice.

Uruchom ten sam prompt w różnych narzędziach — przepływ jest identyczny; różni się tylko punkt wejścia. W Cursorze otwórz diff i wywołaj na nim tryb Agenta. W Claude Code uruchom claude -p "<prompt>" na gałęzi, aby przeczytał drzewo robocze, albo podłącz to do hooka. W Codeksie przekaż mu PR przez integrację z GitHubem lub codex exec w CI. Przypnij model: do przeglądów bezpieczeństwa o najwyższej stawce Claude Fable 5 (/model fable) zapewnia najsilniejszą analizę — wyprzedza Opus 4.8 w złożonych przeglądach obejmujących wiele plików i długotrwałych zadaniach; Opus 4.8 jest właściwym domyślnym wyborem, gdy liczy się budżet; GPT-5.5 napędza Codeksa na wszystkich powierzchniach. Pełne porównanie poziomów modeli znajdziesz w zestawieniu modeli.

Wymuszanie polityk w CI

Dowód audytu jest najmocniejszy, gdy jest automatyczny. Bramką o najwyższej dźwigni dla zespołów wspomaganych przez AI jest blokowanie nieprzeglądniętych zmian schematu — migracje, które generuje agent, to dokładnie miejsce, gdzie błąd typu confused deputy zamienia się w incydent ujawnienia danych.

Wskazówka

Prompt do skopiowania dla polityki OPA/Rego, która blokuje nieprzeglądnięte migracje wygenerowane przez AI:

Write an Open Policy Agent (Rego) policy, package ci.migrations, evaluated
by `conftest test migrations/` in GitHub Actions, that DENIES a PR when:
- a file under migrations/ is added or changed, AND
- the PR lacks the label "db-reviewed", OR has fewer than 1 human approval
  from the @data-platform team (the GitHub event JSON is the input).

Also deny any migration containing DROP TABLE or DROP COLUMN unless the PR
body has a line "MIGRATION-RISK: accepted by <name>". Give me the .rego
file, a passing and a failing input fixture, and the exact GitHub Actions
step that runs conftest and fails the build on a deny.

Podłącz wynik do .github/workflows/, tak aby bramka migracji i skanowanie Semgrep uruchamiały się na każdym PR. Historia zaliczeń/niepowodzeń tego zadania staje się twoim dowodem ciągłej zgodności — wskaż audytorowi log Actions zamiast ręcznie składać arkusz kalkulacyjny. Dla CVE zależności i kontroli licencji dodaj krok Snyk lub npm audit --audit-level=high w tym samym przepływie, zamiast polegać na ręcznym skanowaniu raz na kwartał.

Uwaga

Narzędzia AI wzmacniają, ale nigdy nie zastępują ludzkiego osądu w kwestiach bezpieczeństwa. Model z radością wygeneruje politykę, która wygląda na szczelną, i po cichu przepuści przypadek, którego zapomniałeś opisać. Niech inżynier bezpieczeństwa przejrzy wygenerowane reguły Semgrep i polityki Rego pod kątem realnych złośliwych wejść, zanim zaczną bramkować produkcję, i nigdy nie pozwól agentowi samemu zatwierdzić własnej migracji. Dla projektowania kontroli SOC 2, GDPR i HIPAA — a nie tylko ich wymuszania — utrzymuj wykwalifikowanego człowieka w pętli.

Kiedy to się psuje

• „Telemetria jest włączona, ale SIEM jest pusty.” CLAUDE_CODE_ENABLE_TELEMETRY=1 musi być ustawione zanim zmienne eksportera OTEL zaczną działać, a endpoint kolektora musi być osiągalny z hosta programisty. Przetestuj najpierw na lokalnym kolektorze; zablokowany firewall egressu po cichu odrzuca dane.
• uvx snyk-agent-scan nic nie raportuje na serwerze, który podejrzewasz. Skany statyczne pomijają zachowanie w czasie wykonania. Połącz skan z kontrolami sandboksa powyżej (brak sieci, brak zakresu systemu plików) i obserwuj rzeczywiste wywołania narzędzi przez serwer — czysty skan jest konieczny, ale niewystarczający.
• Bramka Rego blokuje legalne hotfixy. Wbuduj furtkę w samą politykę (linia MIGRATION-RISK: accepted by), a nie w override administratora. Override, który omija kontrolę, jest ustaleniem audytowym; udokumentowany, oznaczony wyjątek to działająca kontrola.
• „Ustawienia audytu” Cursora się nie pojawiają. Nie istnieją na poziomie użytkownika. Jeśli potrzebujesz audytu per programista, potrzebujesz powierzchni administracyjnej planu Enterprise plus logowania komend na poziomie hosta — nie ma na to JSON-a po stronie klienta.
• Agent wycieka sekret do promptu. To incydent wycieku danych, a nie błąd w kodzie. Twoje reguły .gitignore/skanowania sekretów (np. uprawnienie deny w Claude Code dla Read(./.env*)) zapobiegają temu u źródła; traktuj każde naruszenie jako podlegające zgłoszeniu w ramach twojego planu odpowiedzi na incydenty.

Co dalej

• Skanowanie bezpieczeństwa i testowanie podatności — towarzysz od strony testowania: budowanie i uruchamianie skanów, które ten artykuł bramkuje
• Optymalizacja i rozwiązywanie problemów z MCP — utwardzanie, ograniczanie zakresu i debugowanie zweryfikowanych serwerów MCP
• Bramki jakości kodu napędzane przez AI — rozszerzanie wzorca bramki CI poza bezpieczeństwo, na jakość i wymuszanie przeglądów