الانتقال إلى المحتوى الرئيسي
كل خادم MCP تسجّله، وكل مهارة يثبّتها وكيل، وكل مضيف تبلغه أداة هو تبعية لم تكتبها أنت. سلسلة توريد الوكيل ديناميكية — تنمو وقت التشغيل، غالباً دون إنسان في الحلقة — فنموذج “راجع ملف القفل وقت البناء” الكلاسيكي لا يصمد. يمكن اختطاف مهارة مجتمعية بعد أن تثق بها؛ ويمكن لخادم MCP بعيد أن يضيف أداةً بهدوء؛ ويمكن توجيه أداة جلب نحو مضيف يتحكّم فيه مهاجم. ردّ OrcaRouter هو حوكمة سلسلة التوريد حيث تتصرّف — عند البوابة، أول استخدام — بدلاً من محاولة فحص كل تبعية وقت التثبيت. هذه الصفحة هي صفحة الوصول لحالة استخدام ai supply chain security؛ ومرجعا جدار الحماية والمهارات يحملان الآليات الكاملة.

1. أمان سلسلة توريد الذكاء الاصطناعي للوكلاء، عند البوابة

نقطة الاختناق هي مسار الترحيل. سواء سُجّلت قدرة يدوياً، أو ثبّتها الوكيل تلقائياً، أو سُحبت من سجلّ مجتمعي، فإن أول استدعاء أداة لها يعبر api.orcarouter.ai — وهناك يقيّمها جدار الحماية. أربعة ضوابط تتكامل في موقف واحد:

بوابة MCP، تقييم لكل استدعاء

يُقيَّم كل tools/call مقابل سياستك قبل الإرسال — البيان المُعلَن ليس مصدر الحقيقة أبداً.

نطاقات مخاطرة المهارات والحجر

تُفحَص القدرات المثبّتة وتُسجَّل نقاطها وتُعلَّق للمراجعة حتى يوافق إنسان عليها.

بيانات اعتماد MCP المشفّرة

تُشفَّر أسرار مصادقة الخادم في الراحة وتُحقَن عند الإرسال — لا تُكشف للنموذج، أو الوكيل، أو وسائط الاستدعاء أبداً.

قوائم سماح egress

ثبّت أين قد ترسل استدعاءات الأدوات البيانات، كي لا تستطيع تبعية مخترَقة التسريب إلى مضيف لم تعتمده أبداً.
الكشف عند البوابة، أول استخدام — لا في مدير حزمك أو نظام ملفاتك. هذا متعمّد: إنه المسار الوحيد الذي يرى كل وكيل وكل استدعاء أداة بغض النظر عن كيفية وصول القدرة إلى هناك.

2. التهديد: تبعية تنمو بعد أن تثق بها

المتّجهما يحدث
سحب البساطخادم MCP مسجَّل يضيف أداة (shell.exec، أو fetch جديد) لم تعتمدها أبداً.
زحف المهارةمهارة مثبّتة تستخدم أدوات أو مضيفين لم يعلنهما بيانها قط.
سرقة بيانات الاعتمادتطبيق أداة خادم مخترَق يقرأ سرّ مصادقته الخاص للاتصال بالوطن.
تسريب egressسلسلة استرجاع←إرسال تشحن بياناتك إلى مضيف يتحكّم فيه مهاجم.
السبب الجذري المشترك: تُعامَل “أثق بهذا الخادم” على أنها دائمة، فيستمرّ الوكيل باستدعاء أدوات جديدة أو معدَّلة دون مزيد من المراجعة.

3. مثال ملموس واحد — تسجيل خادم MCP وتثبيته

تسجّل خادم MCP تابعاً لطرف ثالث من وحدة التحكم (Settings → Firewall → MCP servers؛ الكتابات تحتاج Developer+). يُخزَّن سرّ مصادقة الخادم مشفّراً — تقدّمه مرةً، تحقنه البوابة عند الإرسال، ويُخفى في كل قراءة بعد ذلك. سجلّ خادم MCP يحمل:
الحقلالقيم
auth_modenone، bearer، oauth، basic
statusok، degraded، down (يضبطه مسبار الصحة)
credentialsمشفّرة في الراحة، لا تُعاد بنصّ صريح أبداً
بعد التسجيل، استكشفه من وحدة التحكم لإحصاء أدواته الحالية. الاستكشاف عملية جلسة-مساحة-عمل (/api/workspace/firewall/*) تحتاج Developer+، وليست مفتاح ترحيل — التسجيل والاستكشاف وتأليف القواعد كلها تحدث على مستوى الإدارة: 
# Console / management plane — workspace session, Developer+.
# (The relay sk-orca-... key is for /v1/* traffic only.)
curl -X POST https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/<id>/probe \
  -H "Authorization: Bearer <workspace-session-token>"
يُديم الاستكشاف قابلية الخادم للوصول ويلتقط لقطة من تجزئة خط أساس لمجموعة أدواته المُعلَنة (ثقة عند أول استخدام). ثم حدّد نطاق قاعدة جدار حماية بـ tool_name_glob: <server>.* إلى pending_approval حتى ترى تاريخ استدعاء نظيفاً — يُعلَّق كل استدعاء من ذلك الخادم لإنسان قبل أن يعمل. وبمجرد أن تثق به، خفّف القاعدة إلى audit أو allow. من تلك النقطة فصاعداً تقيّم بوابة MCP كل tools/call على سطح mcp قبل الإرسال — فإن أضاف سحب بساط لاحقاً أداةً غير مُعلَنة، فإن سياستك، لا بيان الخادم، تقرّر ما إذا كانت تعمل.
أعد الاستكشاف بعد أي رفع نسخة أعلى (POST /api/workspace/firewall/mcp_servers/:id/probe، Developer+). إن انجرفت مجموعة الأدوات المُعلَنة عن خط الأساس المعتمد، يقلب schema_status للخادم إلى changed ويفشل الإرسال مغلقاً حتى يعيد مسؤول التأسيس (approve_schema) أو يحجره — لا يمكن لسحب البساط أن يصير حيّاً بصمت.

4. نطاقات مخاطرة المهارات والحجر

كل قدرة قابلة للتثبيت — سواء سجّلتها أنت أو اكتشفتها البوابة تلقائياً وقت التشغيل — تُمرَّر عبر ماسح المهارات. تتجمّع النتائج إلى نطاق مخاطرة ووضع فرض:
low · medium · high · critical. يُشتقّ النطاق من تمريرات ماسح حتمية على البيان والنطاقات المُعلَنة (استخدام أداة غير مُعلَن، وegress شبكي خارج النطاقات المعتمدة، وكتابات نظام ملفات غير آمنة، ونص بيان على شكل حقن).
allow (قواعد سياستك تقرّر)، quarantine (أي حكم غير deny يتصاعد إلى pending_approval — يوافق إنسان على كل استدعاء)، block (افرض deny على كل أدوات هذه المهارة بغض النظر عن القواعد). مهارة في نطاق high تُحجَر تلقائياً؛ وcritical تُحجَب.
قدرة يثبّتها وكيل ذاتياً، أو أداة يضيفها سحب بساط، تُعلَّق في pending_approval بغض النظر عن درجة فحصها حتى يراجعها إنسان. لا يمكن لمشغّل أن يضيف أداةً بهدوء وتبدأ وكلاؤك باستخدامها.
وضع الفرض لا يشدّ إلا أكثر — الموافقة على مهارة لا تخفّف أبداً حجباً ضبطه فحص جديد.

5. قوائم سماح egress — احتوِ “الاتصال بالوطن”

أكثر نتائج سلسلة التوريد ضرراً هي تبعية مخترَقة تسرّب. يقيّم سطح egress لجدار الحماية الوجهة الصادرة (host / IP / CIDR) التي تبلّغها أداة، فتستطيع تثبيت أين يُسمح للبيانات بالذهاب. تؤلّف قاعدة egress بنفسك: قائمة سماح مضيف/CIDR بمُسنِد cidr_match ترفض كل ما هو خارج القائمة. اقرنها بـ قاعدة تسلسل تكسر سلسلة استرجاع←egress، فتُرفض أداة مسمومة تحاول شحن مستند مسترجَع إلى مضيف غير معروف عند البوابة.
يطرح مستوى الاستقلالية tight إعداداً مسبقاً لـ SSRF، لكنه يرفض أسماء أدوات على شكل جلب (http_fetch، web_search، fetch_url، request) — وهو ليس قائمة رفض CIDR/بيانات تعريف السحابة. إن احتجت حجب egress لـ RFC-1918 / بيانات التعريف / CIDR محدّد، ألّف قاعدة رفض egress لمضيف/CIDR بنفسك. انظر جدار الحماية: القواعد لمُعامِل cidr_match وتحديد نطاق egress.

6. بيانات الاعتماد المشفّرة — خادم مخترَق لا يستطيع قراءة مفاتيحك

تُشفَّر أسرار مصادقة الخادم في الراحة وتحقنها البوابة وقت الإرسال. لا تصل إلى النموذج، أو الوكيل، أو وسائط استدعاء الأداة — فلا يستطيع خادم مخترَق أو خبيث تسريب مفاتيح API الخاصة بك بقراءة كتلة بيان اعتماده الخاصة. تعيد وحدة التحكم السرّ مخفياً دائماً — حتى لمسؤول. تُسلَّم القيمة المفكوكة التشفير على مسار واحد بالضبط: طلب يحمل رمزاً ضمن نطاق بوابة جدار الحماية (نوع رمز مخصّص يسكّه مسؤول صراحةً للبوابة/الوكيل)، فلا يستطيع مفتاح ترحيل مسرَّب عادي إحصاء بيانات اعتماد MCP الخاصة بك.

7. تجميعها لتدقيق

حوكمة سلسلة التوريد هي أيضاً أثر تدقيق. يربط OrcaRouter بـ OWASP Top 10 لتطبيقات LLM — بما في ذلك ضابط LLM05 Supply Chain — كجزء من محرّك الامتثال، إلى جانب أطر مثل soc2 وiso_27001 وiso_42001 وnist_ai_rmf وeu_ai_act. تثبيت حزمة امتثال (POST /api/compliance/packs/:key/install، Admin لمساحة العمل، خطة مدفوعة) يجسّد حواجز الحماية وسياسات جدار الحماية المطابقة ويبدأ في موقف يراقب-أولاً. تتضمّن تقارير الامتثال قسم أدلة سلسلة توريد الذكاء الاصطناعي — المزوّدون الأعلى الذين وجّهت إليهم مساحة عملك فعلاً، إضافةً إلى مراجعة الوصول المتميّز ونظافة المفاتيح — وهي موقَّعة بـ Ed25519 وقابلة للتحقق علناً. تصفّح الكتالوج والجاهزية مجاني لكل Member؛ انظر الامتثال لدورة الحياة الكاملة.
حوكمة MCP طبقتان متكاملتان: تقييم جدار حماية لكل استدعاء على سطح mcp (فرض على ما تفعله تبعية)، إضافةً إلى خط أساس سلامة مخطّط أدوات (تجزئة ثقة عند أول استخدام لمجموعة الأدوات المُعلَنة، يُعاد فحصها كل استكشاف — الانحراف يقلب schema_status للخادم إلى changed ويفشل الإرسال مغلقاً حتى يعيد مسؤول التأسيس أو يحجره). مع نطاقات مخاطرة المهارات والحجر، ذلك فرض على ما تفعله تبعية وسجلّ قابل للتحقق لما أعلنته.

8. خط أساس لسلسلة التوريد

سجّلها، استكشف مجموعة أدواتها، وحدّد نطاق قاعدة <server>.* إلى pending_approval أو audit. اقرأ نتائج الفحص — أي نتيجة أداة-غير- مُعلَنة أو egress-خارجي سبب لإبقائها محجورة. تحقّق من يتحكّم في URL نقطة النهاية.
أبقِ قائمة سماح egress مثبّتة لأي وكيل بأدوات جلب/بحث/تصدير. راقب عرض الأدوات المكتشفة للقدرات التي ظهرت بلا قاعدة، وتغذية الشذوذ لمسارات أداة-إلى-أداة جديدة.
عطّل الخادم (PUT .../mcp_servers، "enabled": false) — لا تُفكّ تشفير بيانات اعتماده وهو معطّل. أعد الاستكشاف لإظهار أدوات جديدة، أعد فحص المهارة، وراجع طابور pending_approval بدلاً من الموافقة الجماعية.

9. تهديدات ومفاهيم ذات صلة

جدار الحماية: خوادم MCP

سجّل خوادم MCP خلف البوابة، استكشف أدواتها، وطبّق حكماً لكل استدعاء قبل أن يصل أي استدعاء إلى الخادم الحقيقي.

جدار الحماية: المهارات

افحص وسجّل نقاط مخاطرة كل قدرة قابلة للتثبيت. احجر أو احجب المهارات الخطرة قبل أن تعمل أدواتها.