الانتقال إلى المحتوى الرئيسي
خادم MCP خارجي هو حزمة غير مراجَعة من الأدوات، واعتماد حيّ، ووصول شبكي جديد. في اللحظة التي يتصل فيها وكيل بأحدها مباشرةً، لا أحد يراقب الاستدعاء — و”غيّر الخادم أدواته بعد أن وافقت عليه” هجوم حقيقي، وليس افتراضياً. قبل أن توجّه وكيلاً إلى خادم يشغّله شخص آخر، تريد فحصاً مسبقاً قابلاً للتكرار. هذه الصفحة هي ذلك الفحص المسبق: قائمة تحقق قصيرة ومرتّبة لـفحص خادم mcp والاتصالات على OrcaRouter باستخدام ضوابط موجودة بالفعل — التقييم لكل استدعاء، وقائمة سماح بمنع افتراضي، وحدود الخروج، والاعتمادات المشفّرة، وحجر المهارات. كل خطوة تربط بالدليل العملي المركّز للعمق. شغّلها مرة لكل خادم جديد؛ وأعِد تشغيل الخطوات الحسّاسة للانحراف كلما تغيّر الخادم.
كل خطوة تكوين هنا تُنجَز من وحدة التحكم (أو من REST API برمز جلستك/وصولك) ومحدودة بالدور. فقط مسارات بوابة جدار الحماية واستدعاءات الترحيل /v1/* تحمل مفتاحاً بنمط sk-orca-....

1. قائمة التحقق لفحص اتصالات خادم mcp

اعمل من الأعلى للأسفل. الخطوات الثلاث الأولى إلزامية لأي خادم لا تشغّله بنفسك؛ والبقية تحصّنه.

1. افحص قبل أن تثق

اكتشف قائمة الأدوات الحقيقية وقابلية الوصول قبل كتابة قاعدة واحدة.

2. امنع افتراضياً، ثم ضع قائمة سماح

اسمح فقط بالأدوات التي راجعتها؛ وكل شيء آخر ممنوع.

3. شفّر الاعتماد

خزّن المصادقة بحيث تكون مشفّرة في حالة السكون، ومقنّعة عند القراءة، ولا يراها النموذج أبداً.

4. أحكِم إغلاق الخروج

قيّد أين يجوز لأدوات الخادم الوصول على الشبكة.

5. احجر المهارات المثبَّتة ذاتياً

احتجز أي شيء يثبّته الوكيل بنفسه حتى يراجعه إنسان.

6. ظلّل أولاً، ثم راقب

اطرح كتدقيق فقط، ثم اقرأ الأحداث والشذوذات قبل الفرض.

2. افحص قبل أن تثق

لا يمكنك مراجعة أدوات لم ترها قط، وقائمة أدوات خادم المُعلَنة هي الشيء الأكثر عرضة للتغيّر تحتك. سجّل الخادم، ثم افحصه — تشغّل البوابة MCP initialize + tools/list مقابل نقطة النهاية وتعيد الأدوات الحقيقية مع مخططات إدخالها، إضافة إلى status قابلية الوصول ok، أو degraded، أو down. 
# مسار وحدة التحكم، يُستدعى برمز جلستك/وصولك (UserAuth). Developer+.
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-access-token>"
اقرأ كل اسم أداة وما تقبله وسائطها. خادم يُعلِن عن shell.exec أو http_fetch لم تتوقعه نتيجة، وليس تفصيلاً — تلك هي الغاية الكاملة من الفحص أولاً.
أعِد الفحص كلما تغيّرت ملكية خادم أو اشتبهت بانحراف. أداة جديدة تظهر في القائمة — “سحب البساط” — هي بالضبط ما تراقبه. انظر الدفاع ضد سحب البساط.
مرجع التسجيل والفحص الكامل يعيش في جدار الحماية: خوادم MCP؛ والشرح من البداية إلى النهاية هو توصيل خادم MCP.

3. امنع افتراضياً، ثم ضع قائمة سماح للأدوات التي راجعتها

قائمة السماح هي الفرق بين “يستطيع الخادم فعل ستة أشياء” و”يستطيع الخادم فعل أي شيء يقرره مشغّله غداً.” اضبط default_verdict للسياسة على deny، ثم أضِف قاعدة لكل أداة راجعتها ووثقت بها. لأن البوابة تضع مساحة أسماء لكل أداة <server>.<tool>، يمكنك تحديد نطاق القواعد لخادم واحد دون لمس الآخرين. 
// سياسة على سطح mcp: امنع افتراضياً، اسمح فقط بما راجعت.
// tool_name_glob يدعم حرفاً بدلاً لمقطع كامل: "github.*" (بادئة)،
// "*.exec" (لاحقة)، أو "*.shell.*" (وسطية). الـ globs منتصف-المقطع مثل
// "github.get_*" تعود إلى تطابق تام ولن تتوسّع.
{
  "default_verdict": "deny",
  "rules": [
    { "tool_name_glob": "github.create_issue", "verdict": "allow" },
    { "tool_name_glob": "github.get_issue",    "verdict": "allow" }
  ]
}
الآن github.create_issue يعمل، وgithub.get_issue يعمل، و github.delete_repo المُدخَل حديثاً ممنوع حتى تراجعه وتسمح به. tools/call ممنوع يعود إلى النموذج كـخطأ أداة (firewall deny: …) — يتكيّف الوكيل بدلاً من الانهيار. انظر قائمة سماح أدوات MCP للوصفة الكاملة، وقواعد جدار الحماية للغة المطابقة.

4. شفّر الاعتماد — لا تصنع المصادقة يدوياً

الخادم الخارجي يحتاج دائماً تقريباً إلى اعتماد، والاعتماد هو الشيء الذي تريده أقل من أي شيء جالساً بنص صريح أو واصلاً إلى النموذج. سجّل مصادقة الخادم عبر OrcaRouter بحيث تكون مشفّرة في حالة السكون، ومقنّعة عند القراءة، ومحقونة فقط وقت الإرسال. auth_mode واحد من none، أو bearer، أو oauth، أو basic: 
# مسار وحدة التحكم، UserAuth، Developer+.
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-access-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}"
  }'
الاعتماد مشفّر ومقنّع في اللحظة التي يُخزَّن فيها — لا يصل أبداً إلى النموذج أو العميل، وعند القراءة لا ترى إلا القناع. عند التحديث، أعِد القناع للإبقاء على القيمة المخزّنة؛ أرسِل auth_json جديداً فقط عندما تدوّر. انظر المصادقة و تدوير الاعتمادات.

5. أحكِم إغلاق الخروج: أين يمكن لأدواته الوصول؟

الأحكام لكل استدعاء تقرر أيّ أداة تعمل؛ والخروج يقرر أين يجوز لها الوصول. أداة “تعيد بيانات” وأداة “تسرّب أسرارك إلى مضيف مهاجم” يمكن أن تكونا نفس الأداة بوسيط مختلف — تحكّم الخروج هو ما يميّزهما. البوابة تتحقق بالفعل من كل نقطة نهاية بعيدة وIP اتصالها المحلول مقابل سياسة SSRF على كل قفزة، رافضةً نطاقات الإنترانت وعنوان بيانات وصف السحابة ومُعيدةً فحص IP لهزيمة إعادة ربط DNS. فوق ذلك، ألّف قاعدة منع خروج خاصة بك للمضيفين وCIDR التي لا ينبغي لهذا الخادم لمسها أبداً: 
// قاعدة بمرحلة egress تحدّد نطاق حكمها إلى الوجهة الصادرة.
// egress_json يحمل قوائم سماح + منع مضيف/CIDR.
{
  "stage": "egress",
  "verdict": "deny",
  "egress_json": "{\"deny\":[\"10.0.0.0/8\"]}"
}
لا يوجد مُعَدّ يأتي بقواعد CIDR لك — تؤلّف قائمة منع مضيف/CIDR بنفسك، محدّدة النطاق لما يحتاجه هذا الخادم بمشروعية. انظر حدود الخروج و تسريب البيانات.

6. احجر ما يثبّته الوكيل بنفسه

الخادم الذي سجّلته مخاطرة واحدة؛ والمهارات، وخوادم MCP الخاصة بك، والإضافات التي يثبّتها وكيل ذاتياً بعد ذلك مخاطرة أخرى. تفحص OrcaRouter كل قدرة قابلة للتثبيت، وتسنِد إليها نطاق مخاطر، وتشتق وضع فرض — allow، أو quarantine، أو block — يركب فوق كل حكم قاعدة. أي شيء مُكتشَف تلقائياً عند أول استخدام هو محجور حتى يراجعه إنسان: قدرة لم يوافق عليها أحد لا تحصل على تصريح مجاني لمجرد أنها فُحِصت حميدة. قدرة quarantine تُصعّد أي شيء دون deny إلى pending_approval، فتعمل أدواتها فقط بعد أن تكون قد نظرت.
لا تحاول تسجيل كل مهارة يدوياً. وافق مسبقاً على تلك التي تثق بها ودع البقية تُكتشَف تلقائياً وتُحجَر — ثم راجِع من بيانات حقيقية. الوضع يتشدّد أكثر عند إعادة فحص، ولا يرتخي أبداً. انظر جدار الحماية: المهارات و تسميم أدوات MCP.

7. ظلّل أولاً، ثم راقب المسار

لا تقلب خادماً جديداً تماماً مباشرة إلى الفرض. ضع السياسة في وضع الظل — تُخفَّض الأحكام الفارضة إلى تدقيق وتُسجَّل كـ[shadow] would … — بحيث ترى ما كان سيُحجَب قبل أن يُحجَب فعلاً. عندما يبدو مسار التدقيق صحيحاً، أسقِط وضع الظل وافرض. بعد أن يصير حياً، تستمر الضوابط في المراقبة:
كل استدعاء محكوم يسجّل حكمه، وسطحه، وقاعدته المطابقة. اقرأها لتأكيد أن قائمة السماح وقواعد الخروج تتصرّف كما هو مقصود. انظر تدقيق أحداث MCP.
قفزات المعدل والتكلفة مقابل خط أساس مكتسَب، إضافة إلى حلقات إعادة المحاولة ومسارات الأدوات الجديدة، تظهر كشذوذات — قابلة للقراءة من أي Member.
شغّل وضع المراقبة لتسجيل الاستدعاءات التي لا تغطّيها سياسة بعد كفجوات، بحيث تشدّد مما يفعله وكيل فعلاً، وليس من التخمينات.

8. المسار السريع: اختَر مستوى استقلالية

إن كنت تفضّل عدم بناء الخطوات 3–5 يدوياً لخادم لا تثق به تماماً، طبّق مستوى استقلالية وحرّر من هناك. تكتب المستويات صفوف سياسة وحاجز حماية حقيقية وقابلة للتحرير — إنها نقطة بداية، وليست صندوقاً أسود:
المستوىما يضبطه
permissiveوضع المراقبة مفعّل — يسجّل كل شيء، لا يفرض شيئاً.
balancedسياسة تدقيق افتراضي تمنع shell المدمّر، إضافة إلى حاجز حماية PII Shield في وضع تعليم فقط.
tightسياسة منع افتراضي تمنع shell المدمّر وأدوات بشكل جلب (http_fetch/web_search/fetch_url/request — متجه SSRF)، إضافة إلى حاجزَي PII Shield وSecrets Blocker مفروضين. الأسرار في الوسائط يمسك بها حاجز Secrets Blocker على الطلب، وليس قاعدة وسيط أداة.
لخادم خارجي لا تزال تفحصه، ابدأ من tight، وافحص، ثم أرخِ أدوات محددة إلى قائمة سماح. التراجع بنقرة واحدة يستعيد لقطة ما قبل التطبيق.
قراءات الإعدادات، والسياسات، والأدوات المكتشَفة، والشذوذات، وخوادم MCP المسجّلة، والمهارات مفتوحة لأي Member؛ قراءات الأحداث، والتشغيلات، والتجميعات تتطلب Developer+، وكل كتابة Developer+. كشف مفتاح رمز بنصه الصريح أيضاً Developer+.

9. إلى أين تذهب بعد ذلك

توصيل خادم MCP

سجّل خادماً وافحصه واكشفه عبر البوابة.

قائمة سماح أدوات MCP

امنع خادماً افتراضياً واسمح فقط بالأدوات المراجَعة.

الدفاع ضد سحب البساط

امسك خادماً أو مهارة تتغير بعد موافقتك.

نظرة عامة على أمان MCP

خريطة سطح حوكمة MCP الكاملة.
جديد على النموذج؟ اقرأ حواجز الحماية مقابل جدار الحماية لأين تنتمي حوكمة MCP، ثم الصلاحية المفرطة واستدعاءات الأدوات الخطيرة للتهديدات التي تغلقها هذه القائمة.