نظرة عامة على أمان MCP

الوكيل الذي يتحدث Model Context Protocol (MCP) آمن بقدر أمان الخوادم التي يتصل بها فحسب. كل خادم MCP هو مجموعة جديدة من الأدوات، واعتماد جديد، ووصول شبكي جديد — وفي اللحظة التي يتصل فيها وكيل بأحدها مباشرةً، لا أحد يراقب الاستدعاء. تلك هي المشكلة الكاملة التي يجب أن يحلّها أمان mcp: ليس “هل هذه الأداة الواحدة آمنة” بل “من يحوكم كلها، على كل استدعاء، بمسار تدقيق واحد.” جواب OrcaRouter هو نقطة اختناق واحدة مدقَّقة. تسجّل كل خادم MCP مرة واحدة؛ ويتصل الوكلاء بـبوابة واحدة؛ ويمرّ كل tools/call عبر محرك جدار الحماية قبل أن يصل إلى الخادم الحقيقي. هذه الصفحة هي خريطة ذلك السطح — البوابة، والحكم لكل استدعاء، وحوكمة المهارات، والخروج، والاعتمادات المشفّرة — مع روابط إلى الدليل العملي المركّز لكل منها.

كل إجراء إدارة هنا يُكوَّن من وحدة التحكم (أو من REST API برمز جلستك/وصولك) ومحدود بالدور. فقط استدعاءات الترحيل /v1/* ومسارات بوابة جدار الحماية تحمل مفتاحاً بنمط sk-orca-....

1. لماذا يحتاج أمان mcp إلى بوابة

وجّه عشرة وكلاء إلى خمسة خوادم MCP مجتمعية مباشرةً وستحصل على أسوأ كل العوالم: لا سياسة مشتركة، ولا مسار تدقيق، واعتمادات منسوخة في عشرة تكوينات وكلاء، وأداة اسمها shell.exec على بُعد إعادة توجيه واحدة من نقطة نهاية بيانات وصف السحابة. تطوي البوابة ذلك في اتصال واحد محكوم.

اتصال واحد، كل خادم

يتصل الوكلاء بنقطة نهاية واحدة. تجمّع البوابة أدوات كل خادم مفعّل قابل للوصول تحت مساحة الأسماء <server>.<tool>.

سياسة على كل استدعاء

يُقيَّم كل tools/call بسياسة جدار الحماية الخاصة بك قبل الإرسال.

اعتمادات مشفّرة

أسرار مصادقة الخادم مشفّرة في حالة السكون، ومقنّعة عند القراءة، ومحقونة عند الإرسال — لا تصل أبداً إلى النموذج أو العميل.

الخروج تحت السيطرة

تُتحقَّق نقطة نهاية الخادم المسجّل مقابل نطاقات IP الخاصة وبيانات وصف السحابة افتراضياً. للوجهات لكل أداة، طبّق قائمة منع خروج SSRF الأساسية أو ألّف قواعد مضيف/CIDR الخاصة بك.

للأسس وراء كل هذا، انظر تأمين وكلاء الذكاء الاصطناعي و لماذا انعدام الثقة.

2. اللبنات الأربع

حوكمة MCP على OrcaRouter أربع قطع متعاونة. اختَر تلك التي تطابق السؤال الذي تحاول الإجابة عنه.

بوابة MCP

نقطة نهاية واحدة يتصل بها وكلاؤك بدلاً من الاتصال بالخوادم مباشرةً. تجمّع أدوات كل خادم مسجّل، بمساحة أسماء <server>.<tool>، وتعيد كشف مخطط إدخال كل أداة حرفياً. ابدأ من توصيل خادم MCP و المصادقة؛ المرجع الكامل في جدار الحماية: خوادم MCP.

التقييم لكل استدعاء

تمرّر البوابة كل tools/call عبر جدار الحماية على سطح mcp وتعيد حكماً — allow، أو audit، أو deny، أو sanitize، أو pending_approval — قبل الإرسال. انظر قائمة سماح أدوات MCP و تنظيف وسائط الأداة.

حوكمة المهارات

القدرات التي يثبّتها الوكيل ذاتياً — مهارات، خوادم MCP الخاصة بك، إضافات — تُفحَص، وتُسنَد إليها نطاق مخاطر، وتُعطى وضع فرض (allow / quarantine / block) يركب فوق كل حكم قاعدة. انظر جدار الحماية: المهارات و الدفاع ضد سحب البساط.

اعتمادات مشفّرة

سرّ مصادقة كل خادم مشفّر في حالة السكون ومقنّع عند القراءة. انظر المصادقة و تدوير الاعتمادات.

3. كيف يُقيَّم tools/call

عندما يستدعي وكيل أداة عبر البوابة، لا يذهب الاستدعاء مباشرةً إلى الخادم. يُطابَق مقابل سياسة مساحة عملك، ويُطبَّق وضع فرض المهارة المالكة فوقه، ولا يصل إلى الخادم الحقيقي إلا حكم allow / audit / sanitize.

الحكم	ما يراه الوكيل
`allow` / `audit`	مُمرَّر. `audit` يسجّل حدثاً أيضاً.
`sanitize`	مُمرَّر مع تنقيح الوسائط (وليس النتيجة أبداً).
`deny` / `pending_approval`	يُعاد كـخطأ أداة، فيستطيع الوكيل التكيّف بدلاً من الانهيار.

استدعاء MCP المحجوب يعود كخطأ أداة (firewall deny: …)، نفس الشكل الذي تعيده أي أداة فاشلة — يستطيع الوكيل إعادة المحاولة بشكل مختلف، أو سؤال المستخدم، أو التوقف. ليس انهيار نقل.

مفردات الأحكام والأسطح ومطابقة القواعد موثّقة بالكامل تحت جدار الحماية و قواعد جدار الحماية؛ النموذج المفاهيمي في أوضاع الفرض و كيف يفحص OrcaRouter.

4. تسجيل خادم (مثال ملموس واحد)

تسجّل كل خادم مرة واحدة. سجل الخادم يحمل name (فريداً لكل مساحة عمل، بلا .)، وendpoint، وauth_mode (none / bearer / oauth / basic)، واعتماداته المشفّرة. افعل ذلك من وحدة التحكم — تتطلب الكتابة Developer+.

# مسار وحدة التحكم، يُستدعى برمز جلستك/وصولك (UserAuth).
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-access-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}",
    "enabled": true
  }'

ثم افحصه لاكتشاف أدواته وتسجيل قابلية الوصول (ok / degraded / down):

curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-access-token>"

الآن يمكنك كتابة قواعد مقابل github.* وأنت تعرف تماماً ما يقبله github.create_issue. الشرح من البداية إلى النهاية في توصيل خادم MCP.

الأسرار لا تُخزَّن أبداً بنص صريح. auth_json مشفّر في حالة السكون ومقنّع عند القراءة؛ عند التحديث، أعِد القناع كما هو للإبقاء على القيمة المخزّنة. انظر تدوير الاعتمادات.

5. توصيل وكيل بالبوابة

بمجرد تسجيل الخوادم، وجّه أي عميل MCP إلى البوابة بـمفتاح ضمن نطاق بوابة جدار الحماية (الرمز بلا ذلك النطاق يحصل على 403):

https://api.orcarouter.ai/api/v1/firewall/mcp

تتحدث البوابة بـ streamable HTTP وتعلن عن أدوات كل خادم مفعّل قابل للوصول تحت مساحة الأسماء <server>.<tool>. الـ SDK الذي يوكّل الاستدعاءات بنفسه يستطيع قراءة سجل التشغيل من GET /api/v1/firewall/mcp_servers بنفس رمز البوابة.

6. أحكِم إغلاق ما يمكن للأدوات الوصول إليه

الأحكام لكل استدعاء تحوكم أيّ أداة تعمل؛ وضوابط الخروج تحوكم أين يجوز لها الوصول. تتعاون طبقتان. أولاً، عندما تتصل البوابة بـنقطة نهاية خادم مسجّل، يُتحقَّق ذلك URL مقابل نطاقات خاصة (RFC1918)، وحلقية، ومحلية الرابط، وبيانات وصف السحابة افتراضياً — ويُحَلّ المضيف عبر DNS بحيث يُرفض اسم يحلّ إلى نطاق محجوب أيضاً. لذا فإن خادماً خاصاً موجَّهاً إلى 169.254.169.254 أو عنوان إنترانت يُرفض ما لم تضعه أنت في القائمة البيضاء صراحةً. ثانياً، لوجهات كل أداة، تحمل قاعدة خروج قائمة سماح/منع مضيف/CIDR تُطابَق مقابل وجهة الاستدعاء الصادرة على سطح egress. يأتي قالب حالة الاستخدام الأساسي بقاعدة منع خروج جاهزة تغطي قائمتها بالفعل النطاقات الخاصة، والحلقية، ومحلية الرابط، وبيانات وصف السحابة (بما في ذلك 169.254.169.254 وmetadata.google.internal)، فتطبيقها يمنحك دفاع SSRF/بيانات الوصف دون تأليف CIDR يدوياً.

SSRF والخروج هما الفرق بين “أعادت هذه الأداة بيانات” و”سرّبت هذه الأداة أسرارك إلى مضيف مهاجم.” طبّق قائمة منع الخروج الأساسية وأضِف قواعد مضيف/CIDR الخاصة بك — انظر حدود الخروج و تسريب البيانات.

7. راقبه: الأحداث والتشغيلات والشذوذات

كل استدعاء محكوم يترك أثراً. أحداث جدار الحماية تسجّل الحكم والسطح والقاعدة المطابقة؛ والتشغيلات تجمّع استدعاءات جلسة؛ وتغذية الشذوذات تعلّم قفزات المعدل والتكلفة مقابل خط أساس مكتسَب. قراءات الإعدادات والسياسات والأدوات المكتشَفة مفتوحة لأي Member؛ قراءات الأحداث/التشغيلات/التجميعات تتطلب Developer+.

تدقيق أحداث MCP — ما يُسجَّل وكيف تقرؤه.
قائمة تحقق الثقة — فحص ما قبل الإطلاق قبل أن تطلق وكيلاً على خادم جديد.

8. إلى أين تذهب بعد ذلك

توصيل خادم MCP

سجّل خادماً وافحصه واكشفه عبر البوابة.

قائمة سماح أدوات MCP

امنع خادماً افتراضياً واسمح فقط بالأدوات التي راجعتها.

الدفاع ضد سحب البساط

حوكِم الخوادم والمهارات التي تتغير بعد موافقتك عليها.

جدار الحماية: خوادم MCP

مرجع الحقول والمسارات الكامل.

جديد على النموذج؟ اقرأ حواجز الحماية مقابل جدار الحماية لترى أين تنتمي حوكمة MCP، ثم تسميم أدوات MCP و الصلاحية المفرطة للتهديدات التي تغلقها.

​1. لماذا يحتاج أمان mcp إلى بوابة

اتصال واحد، كل خادم

سياسة على كل استدعاء

اعتمادات مشفّرة

الخروج تحت السيطرة

​2. اللبنات الأربع

​3. كيف يُقيَّم tools/call

​4. تسجيل خادم (مثال ملموس واحد)

​5. توصيل وكيل بالبوابة

​6. أحكِم إغلاق ما يمكن للأدوات الوصول إليه

​7. راقبه: الأحداث والتشغيلات والشذوذات

​8. إلى أين تذهب بعد ذلك

توصيل خادم MCP

قائمة سماح أدوات MCP

الدفاع ضد سحب البساط

جدار الحماية: خوادم MCP

1. لماذا يحتاج أمان mcp إلى بوابة

2. اللبنات الأربع

3. كيف يُقيَّم tools/call

4. تسجيل خادم (مثال ملموس واحد)

5. توصيل وكيل بالبوابة

6. أحكِم إغلاق ما يمكن للأدوات الوصول إليه

7. راقبه: الأحداث والتشغيلات والشذوذات

8. إلى أين تذهب بعد ذلك