صندوق حماية خادم MCP: خوادم MCP معزولة مع تحكم في نظام الملفات والأسرار والشبكة

صندوق حماية خادم MCP: خوادم MCP معزولة مع تحكم في نظام الملفات والأسرار والشبكة

يجب تشغيل خوادم MCP مع نقاط تحميل محددة لنظام الملفات، وأسرار بأقل الامتيازات، وسياسة شبكة صريحة، وحدود مساحة عمل لكل وكيل، وسجلات؛ بحيث لا يؤدي الوصول إلى الأدوات إلى توسيع حدود الثقة للوكيل بصمت. يكون صندوق الحماية مفيدًا عندما يمكن لخادم MCP قراءة الملفات، أو إنشاء عمليات فرعية، أو تثبيت الحزم، أو استدعاء واجهات برمجة التطبيقات الداخلية، أو الاحتفاظ بحالة جلسة وكيل طويلة الأمد. الجزء الصعب ليس تحديد أن MCP بحاجة إلى العزل؛ بل هو تحديد أي حدود تنتمي حول كل أداة، وأي البيانات تعبر هذه الحدود، وأي الإجراءات لا تزال بحاجة إلى مراجعة بشرية.

لماذا يغيّر MCP حدود الثقة للوكيل

يمنح بروتوكول سياق النموذج (MCP) تطبيقات الذكاء الاصطناعي طريقة شائعة لتوصيل النماذج بالأدوات والمطالبات والموارد. وهذا يجعل التكامل أكثر نظافة، ولكنه يحول أيضًا كل خادم MCP إلى حدود سياسة. إذا كشف الخادم عن read_file أو run_command أو query_database أو deploy_preview، فيمكن للوكيل الآن طلب إجراءات تتجاوز نافذة سياق النموذج.

يصف مواصفات MCP العديد من التوقعات الأمنية التي تهم تصميم صندوق الحماية: يجب على المستخدمين فهم الأدوات المكشوفة والموافقة عليها، ويجب على المضيفين طلب الموافقة قبل استدعاء الأداة، وأوصاف الأدوات غير موثوقة ما لم يتم التحقق منها، ويجب حماية البيانات الحساسة بواسطة ضوابط الوصول المناسبة. هذه القواعد هي ضوابط على مستوى التطبيق. يضيف صندوق الحماية ضوابط وقت التشغيل تحتها، مما يحد من ما يمكن لعملية خادم MCP لمسه حتى لو قدم الوكيل أو وصف الأداة أو سلسلة المطالبات طلبًا سيئًا.

فكر في حدود الثقة في ثلاث طبقات:

الطبقة ما تتحكم فيه وضع الفشل الشائع
المضيف أو عميل MCP الخوادم المتصلة واستدعاءات الأدوات المعتمدة تتم الموافقة على أداة واسعة النطاق مرة واحدة ثم إعادة استخدامها في سياق أكثر حساسية
خادم MCP تنفيذ الأداة، المصادقة، التحقق من المدخلات، الوصول إلى الموارد تقرأ الأداة ملفات أكثر، أو ترسل بيانات أكثر، أو تشغل أوامر أكثر من المتوقع
بيئة تشغيل صندوق الحماية نظام الملفات، العمليات، الشبكة، الأسرار، دورة الحياة، والسجلات ترث عملية الخادم وصول المضيف لأنها تعمل قريبة جدًا من موارد الإنتاج

الهدف ليس جعل كل خادم MCP غير موثوق بنفس الطريقة. أداة البحث في التقويم، وأداة تنفيذ الكود المحلي، وأداة النشر لها ملفات تعريف مخاطر مختلفة. الهدف هو إبقاء وصول وقت تشغيل كل خادم لا يتجاوز الوظيفة التي يؤديها.

ما يجب عزله أولاً

ابدأ بخوادم MCP التي يمكنها تغيير الحالة الخارجية، أو لمس البيانات الحساسة، أو تنفيذ الكود. هذه هي الخوادم الأكثر عرضة لتحويل خطأ عادي في المطالبة إلى حادث أوسع.

تشمل المرشحات عالية الأولوية للعزل في صندوق الحماية:

  • أدوات تنفيذ الكود التي تشغل أوامر الصدفة، بايثون، Node.js، المترجمات، الاختبارات، أو الدفاتر.
  • أدوات نظام الملفات التي تقرأ أو تكتب مستودعًا، أو تحميلات المستخدم، أو مجموعة بيانات مثبتة، أو ملف بيانات اعتماد، أو قطعة أثرية مولدة.
  • أدوات المتصفح واستخدام الكمبيوتر التي تحتفظ بملفات تعريف الارتباط، وحالة الجلسة، والملفات التي تم تنزيلها، أو لقطات الشاشة.
  • موصلات البيانات التي يمكنها الاستعلام عن سجلات العملاء، وصادرات التحليلات، والتذاكر، أو المستندات الخاصة.
  • أدوات النشر والتكامل المستمر التي يمكنها إنشاء فروع، أو نشر معاينات، أو تدوير التهيئة، أو تعديل البنية التحتية.
  • أدوات الحزم والتبعيات التي يمكنها جلب كود من السجلات، أو استنساخ Git البعيدة، أو عناوين URL عشوائية.

لا يزال بإمكان خوادم MCP ذات المخاطر المنخفضة أن تستحق ضوابط. قد لا يحتاج خادم بحث في وثائق عامة للقراءة فقط إلى جهاز افتراضي صغير لكل طلب، ولكن يجب أن يكون لديه مسار شبكة مصرح به، وسجلات، وحدود معدل. يجب أن يتبع العزل نصف قطر الانفجار العملي للأداة، وليس تسمية “خادم MCP”.

أين يجب تشغيل خادم MCP

هناك ثلاثة أنماط موضع شائعة. لا أحد منها صحيح عالميًا.

الموضع متى يُستخدم انتبه لـ
نفس صندوق الحماية كمساحة عمل الوكيل الخادم مرتبط بإحكام بملفات الوكيل الحالية، أو أوامر الصدفة، أو جلسة المتصفح، أو القطع الأثرية المولدة يتشارك الخادم والوكيل الحالة، لذا يمكن لأداة مخترقة رؤية نفس مساحة العمل ما لم يتم تحديد نطاق التحميلات والأسرار
صندوق حماية منفصل لكل خادم MCP أو مجموعة أدوات تحتاج الأداة إلى عزل أقوى من مساحة عمل الوكيل، أو تتعامل مع بيانات اعتماد مختلفة، أو تؤدي تنفيذًا عالي المخاطر يصبح نقل الملفات عبر صناديق الحماية وزمن الوصول جزءًا من تصميم المنتج
خارج صندوق الحماية خلف واجهة برمجة تطبيقات محددة النطاق الأداة هي خدمة إنتاج مستقرة مع مصادقة وتفويض وتسجيل وحدود معدل خاصة بها يجب أن تكون واجهة برمجة التطبيقات ضيقة؛ لا تفضح سطح إداري داخلي واسع لمجرد أنه يقع خارج صندوق الحماية

تشغيل خادم في نفس صندوق الحماية مناسب للوكلاء البرمجيين. يمكن لخادم MCP رؤية المستودع، وتشغيل الاختبارات، وفحص القطع الأثرية، وإرجاع النتائج دون نقل الملفات عبر البيئات. يعمل هذا بشكل أفضل عندما تكون مساحة العمل نفسها قابلة للاستبدال بالفعل وتحتوي فقط على الملفات التي يجب أن يستخدمها الوكيل.

صندوق الحماية المنفصل أفضل عندما تستحق الأداة سياسة مختلفة. على سبيل المثال، قد يحتاج خادم MCP لتحليل الحزم إلى الوصول إلى الإنترنت للسجلات العامة، بينما لا ينبغي للوكيل البرمجي الرئيسي ذلك. قد يحتاج خادم MCP للمتصفح إلى ملفات تعريف ارتباط لحساب اختبار، بينما لا ينبغي لخادم تنفيذ الكود رؤية ملفات تعريف الارتباط تلك مطلقًا.

الخدمة الخارجية تناسب الأدوات التي ليست في الواقع “أدوات وقت تشغيل” على الإطلاق. قد يكون البحث في الفوترة، أو قراءة علامات الميزات، أو البحث في متتبع المشكلات أكثر أمانًا كواجهة برمجة تطبيقات خلفية عادية مع تفويض من جانب الخادم من كخادم حر الشكل داخل بيئة الحوسبة للوكيل.

تحميلات نظام الملفات ومساحات العمل لكل وكيل

الوصول إلى نظام الملفات هو المكان الذي تتحول فيه راحة MCP غالبًا إلى امتياز عرضي. خادم يحتاج إلى قراءة ./src لا يجب أن يرث الدليل الرئيسي للمطور. أداة تكتب رسومًا بيانية مولدة لا يجب أن تكون قادرة على الكتابة فوق تهيئة النشر.

استخدم حدود مساحة عمل صريحة:

  • أعط كل تشغيل وكيل دليل مساحة عمل خاص به.
  • قم بتحميل فقط المستودع، أو مجلد التحميل، أو مجموعة البيانات، أو دليل القطع الأثرية اللازمة للمهمة.
  • فضّل التحميلات للقراءة فقط للمواد المصدرية والتحميلات للقراءة والكتابة للمخرجات فقط.
  • افصل المخرجات المولدة عن ملفات المصدر الموثوقة.
  • تجنب تحميل مجلدات بيانات الاعتماد مثل .ssh، أو أدلة تهيئة السحابة، أو ملفات تعريف المتصفح، أو ملفات مصادقة مدير الحزم المحلي.
  • أعد تعيين أو التقط لقطة لمساحة العمل بين المستخدمين أو المستأجرين أو المهام غير المرتبطة.

يمكن أن تساعد جذور MCP العملاء في توصيل مواقع نظام الملفات التي يجب أن يعمل عليها الخادم، لكن الجذور ليست حدًا أمنيًا كاملاً بذاتها. تعامل معها كآلية تنسيق بين العميل والخادم. لا تزال بيئة التشغيل بحاجة إلى حدود على مستوى نظام الملفات، ويجب على الخادم التحقق من المسارات بحيث لا يمكن للطلبات الهروب من مساحة العمل المقصودة باستخدام روابط رمزية، أو مسارات نسبية، أو حيل استخراج الأرشيف.

النمط العملي هو تقسيم الوصول إلى مساحة العمل حسب الدور:

الدليل الوصول الغرض
/workspace/input للقراءة فقط تحميلات المستخدم، مستودع البذور، جهاز الاختبار المعياري، أو بيانات الاختبار
/workspace/output قراءة وكتابة الملفات المولدة، التقارير، التصحيحات، الرسوم البيانية، أو لقطات الشاشة
/workspace/tmp قراءة وكتابة، قابل للاستبدال ذاكرة التخزين المؤقت للبناء، ذاكرة التخزين المؤقت لتثبيت الحزم، ملفات الخدش
/workspace/secrets تجنب تحميلات الملفات حيثما أمكن إذا كان لا مفر منه، قم بتحميل ملف سر واحد محدد النطاق مع عمر صارم وتنقيح

المسارات الدقيقة لا تهم. المبدأ هو المهم.

الأسرار ومتغيرات البيئة

عادة ما يكون تسريب الأسرار أسهل من الملفات لأنها تنتقل عبر متغيرات البيئة، والسجلات، وتتبعات المكدس، وبرامج الحزم النصية، وتاريخ الصدفة، وجلسات المتصفح، واستجابات الأدوات. عندما يحتاج خادم MCP إلى بيانات اعتماد، امنحه أضيق بيانات اعتماد يمكنها إكمال إجراء الأداة.

استخدم بيانات اعتماد منفصلة لخوادم MCP منفصلة. قد يحتاج خادم البحث في مشكلات GitHub إلى وصول للقراءة فقط للمشكلات. قد يحتاج خادم كتابة طلبات السحب إلى وصول كتابة للفرع. لا ينبغي لخادم النشر مشاركة أي من الرمزين ما لم يتطلب نموذج الإذن ذلك حقًا.

تبدو المعالجة الجيدة للأسرار لخوادم MCP كما يلي:

  • حقن الأسرار في بداية صندوق الحماية أو العملية، وليس من خلال المطالبات.
  • استخدام رموز قصيرة العمر أو قابلة للإلغاء عندما يدعمها المزود.
  • تحديد نطاق بيانات الاعتماد حسب الأداة، والمستأجر، والبيئة، والإجراء.
  • تنقيح الأسرار من stdout و stderr واستجابات الأدوات المنظمة وسجلات التتبع.
  • عدم إرجاع متغيرات البيئة الخام للنموذج.
  • عدم السماح للوكيل بتحديد السر الذي سيتم تحميله.
  • تدوير بيانات الاعتماد المستخدمة من قبل الخوادم عالية المخاطر وبعد الاشتباه في التعرض لحقن المطالبة.

تجنب نمطًا شائعًا مضادًا: ملف بيئة واحد لجميع الأغراض يتم تحميله في كل جلسة وكيل. يجعله أسهل للتطوير المحلي وأصعب لمراجعة الإنتاج. إذا كانت الأداة لا تحتاج إلى سر، فلا ينبغي أن تكون قادرة على قراءته.

خروج الشبكة واختيارات النقل

يدعم MCP أنماط النقل المحلية والبعيدة. يصف المواصفات stdio للاتصال بالعملية المحلية و Streamable HTTP لاتصال الخادم بالعميل عبر HTTP. لا تزال التصميمات القديمة القائمة على SSE تظهر في النظام البيئي، لكن يجب على التكاملات الجديدة التحقق من وثائق MCP الحالية و SDK المختار قبل الاعتماد على نقل معين.

يحل اختيار النقل وسياسة شبكة صندوق الحماية مشاكل مختلفة:

السؤال يجيب النقل عليه تجيب سياسة الشبكة عليه
كيف يتحدث عميل MCP مع الخادم؟ stdio، أو نقل قائم على HTTP، أو نمط آخر مدعوم غير قابل للتطبيق
أي مضيفين خارجيين يمكن للخادم الاتصال بهم؟ ليس كافيًا بمفرده قائمة السماح، قائمة المنع، الوكيل، سياسة DNS، أو عدم الخروج
هل يمكن للخادم جلب الحزم أو صفحات الويب؟ ليس كافيًا بمفرده قوائم السماح للسجلات، قوائم السماح لعناوين URL، التخزين المؤقت، والتسجيل
هل يمكن لعملية أخرى الوصول إلى الخادم؟ تفاصيل الربط والمصادقة جدار الحماية الوارد وحدود شبكة صندوق الحماية

بالنسبة لخوادم stdio المحلية، غالبًا ما يكون الخطر هو وصول المضيف الموروث. قد يعمل الخادم كعملية فرعية لتطبيق المضيف ويرى الملفات المحلية، ومتغيرات البيئة، ومسارات الشبكة. إذا كان هذا الخادم ينفذ كودًا أو يقرأ ملفات حساسة، فانقله إلى عملية معزولة بصندوق حماية أو قم بتشغيل زوج المضيف-العامل بالكامل داخل مساحة عمل قابلة للاستبدال.

بالنسبة لخوادم MCP القائمة على HTTP، يتحول الخطر نحو المصادقة، والتعرض للشبكة، والفصل بين المستأجرين. استخدم التفويض من جانب الخادم، و TLS، وفحوصات الأصل حيثما ينطبق ذلك، وبيانات اعتماد لكل عميل. لا تفضح خادم MCP بعيدًا على شبكة داخلية واسعة دون سياسة واضحة لمن يمكنه استدعاء أي أدوات.

بالنسبة لخروج الشبكة، فإن الرفض الافتراضي أسهل في التفكير فيه من القبول الافتراضي. إذا كانت الأداة بحاجة إلى تثبيتات حزم، اسمح بسجل الحزم أو ذاكرة تخزين مؤقت للسحب. إذا كانت بحاجة إلى بحث على الويب، قم بتوجيهها عبر وكيل يسجل النطاقات المطلوبة ويمنع نقاط النهاية الوصفية الداخلية. إذا كانت بحاجة إلى واجهات برمجة تطبيقات داخلية، اكشف عن واجهة برمجة تطبيقات ضيقة بدلاً من الشبكة الخاصة بأكملها.

تثبيت الحزم، والعمليات الفرعية، والحالة طويلة الأمد

العديد من أدوات MCP المفيدة تحتاج إلى عمليات فرعية. الوكلاء البرمجيون يشغلون الاختبارات. وكلاء البيانات يثبتون المكتبات. وكلاء المتصفح يشغلون المتصفحات. وكلاء البناء يستدعون المترجمات. دعم العمليات الفرعية ليس المشكلة؛ دعم العمليات الفرعية غير المرئي هو المشكلة.

قبل السماح بتثبيت الحزم أو تنفيذ الصدفة، حدد:

  • الأوامر المسموح بها، الممنوعة، أو المقيدة بالموافقة.
  • ما إذا كان بإمكان مديري الحزم الوصول إلى الإنترنت العام.
  • ما إذا كان يجب تثبيت إصدارات التبعيات أو أن تكون قائمة على ملف القفل.
  • أين توجد ذاكرات التخزين المؤقت للبناء والحزم المثبتة.
  • كم من الوقت يمكن للعمليات الخلفية العمل.
  • أي ملفات الإخراج يتم الاحتفاظ بها بعد التنظيف.
  • ما إذا كان بإمكان الوكيل بدء مستمعي الشبكة.

تقدم خوادم MCP طويلة الأمد مشكلة ثانية: انجراف الحالة. قد يتراكم الخادم الذي يعيش لساعات ملفات وبيانات اعتماد وملفات تعريف ارتباط المتصفح وتاريخ الصدفة وتغييرات التبعيات ومهام الخلفية. يمكن أن تكون هذه الحالة مفيدة لسير العمل متعدد الخطوات، لكنها يجب أن تنتمي إلى الوكيل والمستخدم والمهمة الصحيحين.

استخدم ضوابط دورة الحياة:

التحكم لماذا يهم
معرفات صندوق الحماية لكل وكيل يمنع حالة أداة وكيل واحد من أن تصبح سياق وكيل آخر
مهلة الخمول ينظف جلسات الأداة المهجورة
سياسة الإيقاف المؤقت والاستئناف يدعم المهام الطويلة دون إبقاء الحوسبة غير الضرورية نشطة
سياسة اللقطة أو القالب يبدأ بيئات قابلة للتكرار من خط أساس معروف
التفكيك الصريح يزيل الملفات ويقتل العمليات ويحرر بيانات الاعتماد بعد انتهاء المهمة

إذا أنتجت أداة قطعًا أثرية دائمة، انسخ فقط تلك القطع الأثرية خارج صندوق الحماية. لا تحتفظ بمساحة العمل بأكملها ما لم يتطلب المنتج صراحة إعادة تشغيل الجلسة الكاملة.

التسجيل والتنظيف والمراجعة البشرية

يجب أن تجيب سجلات أداة MCP على أسئلة الأمان والتصحيح دون أن تتحول إلى متجر أسرار جديد. تشمل السجلات المفيدة اسم الأداة، وهوية المتصل، ومعرف صندوق الحماية، ومعرف مساحة العمل، وفئة الأمر، والملفات المقروءة أو المكتوبة، والنطاقات الخارجية المتصلة، وأسماء الحزم المثبتة، وحالة الخروج، ومسارات القطع الأثرية.

لا تقم بتسجيل المطالبات الخام أو بيانات العميل الخام أو الرموز أو محتويات الملف الكاملة أو مخرجات الأوامر الكاملة افتراضيًا. احتفظ بالتتبعات الحساسة خلف ضوابط وصول وسياسات احتفاظ أكثر صرامة.

يجب أن تظل بعض إجراءات MCP قيد المراجعة البشرية حتى داخل صندوق الحماية:

  • النشر أو الإصدار إلى الإنتاج.
  • إرسال البريد الإلكتروني أو الدردشة أو التذاكر أو الفواتير أو الرسائل الموجهة للعملاء.
  • تعديل التحكم في الوصول أو الفوترة أو بيانات المستخدم أو تهيئة البنية التحتية.
  • تسريب ملفات كبيرة أو مستودعات خاصة أو صادرات قواعد بيانات أو سلاسل شبيهة ببيانات الاعتماد.
  • تشغيل أوامر خارج سياسة مساحة العمل.
  • استدعاء واجهات برمجة التطبيقات الداخلية بأذونات الكتابة.

يجب أن يقلل صندوق الحماية من نصف قطر الانفجار. لا ينبغي أن يصبح سببًا لإزالة المراجعة من إجراءات الأعمال الحساسة.

كيف يتناسب صندوق حماية وكيل Novita

تم تصميم صندوق حماية وكيل Novita لأعباء عمل الوكيل التي تحتاج إلى بيئة تشغيل معزولة لتنفيذ الكود والملفات والعمليات وسير العمل على غرار المتصفح والجلسات الطويلة. يمكن أن يتناسب مع هياكل MCP حيث يحتاج خادم الأداة إلى مساحة عمل قابلة للاستبدال بدلاً من الوصول المباشر إلى كمبيوتر محمول للمطور أو مضيف إنتاج أو آلة CI مشتركة.

استخدمه كحدود وقت التشغيل للخوادم التي تحتاج إلى:

  • تنفيذ كود أو أوامر مولدة.
  • العمل مع ملفات مؤقتة وقطع أثرية مولدة.
  • الحفاظ على حالة مساحة عمل لكل وكيل عبر مهام متعددة الخطوات.
  • تشغيل عمل خلفي يمكن للوكيل التحقق منه لاحقًا.
  • فصل تجربة الوكيل عن مضيف التطبيق.

حافظ على حدود المنتج واضحة: خادم MCP لا يزال كود تطبيقك. أنت لا تزال تصمم أذونات الأداة ونطاقات بيانات الاعتماد وسياسة الشبكة وتدفق الموافقة ومخطط التسجيل وسلوك التنظيف. يوفر صندوق الحماية البيئة المعزولة حيث يتم فرض هذه القرارات.

للإعداد الخاص بالمنتج، استخدم وثائق Novita الحالية بدلاً من نسخ مقتطفات قديمة من دروس تعليمية أقدم. من الناحية المفاهيمية، يكون الشكل:

لكل مهمة وكيل:
  إنشاء صندوق حماية من قالب معتمد
  تحميل مساحة عمل المهمة فقط
  حقن أسرار خاصة بالأداة فقط
  بدء خادم MCP داخل صندوق الحماية أو الاتصال بواجهة برمجة تطبيقات أداة مدعومة بصندوق حماية
  توجيه استدعاءات الأدوات من خلال فحوصات الموافقة والسياسة
  جمع السجلات والقطع الأثرية المعتمدة
  إيقاف أو إعادة تعيين أو إيقاف صندوق الحماية مؤقتًا وفقًا لدورة حياة المهمة

هذا يحافظ على استقرار التوجيه على مستوى المقالة مع ترك استدعاءات SDK الدقيقة لأحدث الوثائق وكود منصتك.

قائمة التحقق للتنفيذ

استخدم قائمة التحقق هذه قبل توصيل خادم MCP بوكيل مستقل أو شبه مستقل:

المجال أسئلة للإجابة عليها
نطاق الأداة ما الأدوات التي يكشفها الخادم، وأي منها تغير الحالة الخارجية؟
الموضع هل يجب تشغيل الخادم في صندوق حماية الوكيل، أو صندوق حماية منفصل، أو خارج صندوق الحماية خلف واجهة برمجة تطبيقات ضيقة؟
نظام الملفات أي الدلائل محملة، هل هي للقراءة فقط أم للقراءة والكتابة، وكيف يتم منع هروب المسار؟
الأسرار أي بيانات اعتماد يتم حقنها، وكيف يتم تحديد نطاقها، وأين يمكن أن تظهر في السجلات أو المخرجات؟
الشبكة هل الخروج هو رفض افتراضي، أو موجه عبر وكيل، أو مصرح به حسب النطاق والسجل وواجهة برمجة التطبيقات الداخلية؟
العمليات الفرعية أي الأوامر ومديري الحزم والمهام الخلفية والمستمعين مسموح بها؟
الحالة كيف يتم التعامل مع مساحات العمل لكل وكيل واللقطات ومهلات الخمول وسلوك الإيقاف المؤقت/الاستئناف والتنظيف؟
السجلات هل يمكنك إعادة بناء استدعاءات الأدوات وتغييرات الملفات والنطاقات الخارجية والقطع الأثرية دون تخزين الأسرار؟
المراجعة البشرية أي استدعاءات أدوات تتطلب موافقة قبل التنفيذ أو التصدير أو النشر أو الإجراء الموجه للعميل؟
الاختبار هل اختبرت حقن المطالبة، وعبور المسار/الرابط الرمزي، والإخراج الكبير، والفشل في التنظيف، ومسارات الخروج الممنوعة؟

يجعل MCP تكامل الأدوات أسهل. يمنع صندوق الحماية هذا التكامل من أن يصبح توسعًا صامتًا لامتيازات النموذج. التصميم الصحيح عادة ما يكون مزيجًا: بعض الخوادم في نفس مساحة عمل الوكيل، وبعضها في صناديق حماية منفصلة، وبعضها خارج صندوق الحماية خلف واجهات برمجة تطبيقات ذات تفويض صارم. اختر الموضع الذي يتناسب مع بيانات الأداة وأسرارها وعملياتها الفرعية واحتياجات الشبكة.

الأسئلة الشائعة

هل يجب تشغيل كل خادم MCP في صندوق حماية؟

لا. أعط الأولوية للخوادم التي تنفذ الكود، أو تقرأ أو تكتب الملفات، أو تستخدم الأسرار، أو تستدعي الخدمات الخاصة، أو تشغل المتصفحات، أو تثبت الحزم، أو تغير الحالة الخارجية. قد لا تزال الخوادم منخفضة المخاطر للقراءة فقط بحاجة إلى مصادقة وتسجيل وضوابط شبكة، لكنها قد لا تحتاج إلى صندوق حماية مخصص لكل طلب.

هل stdio أكثر أمانًا من HTTP لخوادم MCP؟

ليس تلقائيًا. يمكن أن يكون stdio بسيطًا للخوادم المحلية، لكن الخادم قد يرث نظام الملفات المحلي والبيئة والوصول إلى الشبكة. تحتاج الخوادم القائمة على HTTP إلى مصادقة وضوابط تعرض أقوى. يعتمد الخيار الأكثر أمانًا على مكان تشغيل العملية وأي أذونات وقت التشغيل تتلقاها.

هل يمكن لجذور MCP استبدال عزل نظام الملفات بصندوق الحماية؟

لا. تساعد الجذور في توصيل مواقع مساحة العمل المقصودة بين العميل والخادم، لكنها ليست حدًا كاملاً لوقت التشغيل. استخدم التحقق من المسار وضوابط نظام الملفات على مستوى صندوق الحماية لإبقاء الخادم داخل مساحة العمل المقصودة.

أين يجب تخزين الأسرار لأدوات MCP المعزولة بصندوق حماية؟

احقن فقط بيانات الاعتماد التي تحتاجها الأداة، ويفضل أن تكون كمتغيرات بيئة قصيرة العمر أو أسرار وقت تشغيل محددة النطاق. لا تقم بتحميل مجلدات بيانات اعتماد المطور الواسعة أو تمرير الأسرار من خلال المطالبات. قم بتنقيحها من السجلات واستجابات الأدوات.

متى يجب أن تتطلب أداة MCP موافقة بشرية؟

اطلب الموافقة على عمليات النشر للإنتاج، والرسائل الموجهة للعملاء، وتغييرات الفوترة أو التحكم في الوصول، وصادرات البيانات الكبيرة، وكتابات البنية التحتية، وأي أمر أو إجراء شبكي خارج سياسة مساحة العمل العادية.

مقالات مقترحة