Noma Security का नया 'Lethal by Design' whitepaper दो AI-agent extension mechanisms के बीच एक तीखी architectural रेखा खींचता है जिन्हें builders अब तक लगभग समान मानते आए थे: MCP servers और Skills (Claude Skills pattern, जो अन्य agent surfaces में फैल रहा है)। मुख्य संख्या — विश्लेषित MCP servers में से लगभग एक-चौथाई आठ capability categories पर code-execution risk उजागर करते हैं — यही उद्धृत होता है। methodology public summary में पूरी तरह ज़ाहिर नहीं (sample size, registry coverage, और "code execution risk" की categories पर सटीक परिभाषा सब अस्पष्ट है), इसलिए प्रतिशत को directional signal मानें, peer-reviewed audit परिणाम नहीं। नीचे का substantive architectural अवलोकन ज़्यादा मायने रखता है।

वह अवलोकन: MCP tools और Skills agent author के दृष्टिकोण से समान दिखते हैं पर एक observability सीमा के विपरीत किनारों पर रहते हैं। जब एक agent MCP tool को call करता है, defenders parameters बाहर जाते और responses वापस आते देखते हैं — संरचित, loggable, source code की तरह enumerable। Skills अलग हैं। Agent एक textual instruction set अपने reasoning context में load करता है, और उसके बाद जो होता है वह मॉडल के reasoning के अंदर खेलता है, जहाँ observability tools follow नहीं कर सकते। आप उस file को audit कर सकते हैं जो Skill ship करती है; एक बार वह Skill context में load हो गया, मॉडल runtime decisions audit नहीं कर सकते। यह tooling gap नहीं है जिसे बेहतर SIEM coverage बंद करता है; यह संरचनात्मक है कि Skills कैसे काम करते हैं।

whitepaper abstraction को anchor करने के लिए पाँच real-world incident patterns नामित करता है। **ContextCrush**: zहरीली documentation local file exfiltration की ओर ले जाती है। **ForcedLeak**: malicious CRM data sensitive record queries trigger करता है। **DockerDash**: zहरीला Docker image metadata command execution trigger करता है। **Replit और Amazon Q incidents** जो पहले से हुए — agent hallucinations जो production deletion में परिणत हुईं। **Memory manipulation** आवर्ती fraudulent financial transfers के लिए। ये अनुमान नहीं हैं; वे विशिष्ट architectural exposures को मैप करते हैं जो *आज* production agent deployments में मौजूद हैं। हर एक "agent को कुछ ऐसा करने की अनुमति दी गई जो उसे नहीं करना चाहिए था, और आसपास के security stack ने नहीं पकड़ा क्योंकि प्रासंगिक decision एक ऐसी layer में हुआ जो observable signals उत्सर्जित नहीं करती" का अलग आकार है।

Noma का defensive frame "No Excessive CAP" है — **Capabilities** (narrow tools allowlist, MCP versions pin), **Autonomy** (irreversible actions के लिए approval gates), **Permissions** (user-scoped expiring credentials, static service accounts नहीं)। Builders के लिए, व्यावहारिक पठन यह है कि agent-security stack उसी तरह bifurcate हो रहा है जैसे observability समस्या। जो tools MCP के लिए काम करते हैं — Pipelock जैसे out-of-process firewalls, gateway-style enforcement — Skills के साथ मदद नहीं करते, क्योंकि Skills external calls नहीं करते जिन्हें proxy intercept कर सके; वे मॉडल व्यवहार को अंदर से आकार देते हैं। अगर आपका agent deployment MCP *और* Skills दोनों का उपयोग करता है, आपको दो अलग security postures चाहिए: MCP के लिए network boundary पर enforcement layer, और Skills के लिए *content review* discipline इससे पहले कि वे मॉडल context में प्रवेश करें। whitepaper go.noma.security/lethal-by-design पर है।