1. La huella de la línea base
En el primer contacto el gateway computa un hash canónico del conjunto de herramientas anunciado del servidor y lo almacena como la línea base aprobada:- El hash cubre el nombre, la descripción y el esquema JSON de entrada de cada herramienta — exactamente la superficie que un rug-pull alteraría (una herramienta ganando un argumento de exfiltración, o una descripción weaponizada para inyección de prompts, voltea el hash).
- Es independiente del orden: un servidor reordenando su lista de herramientas, o reordenando claves dentro de un esquema, no parece un cambio. Solo un cambio de definición real mueve el hash.
2. El ciclo de vida del estado de esquema
Cada servidor registrado lleva unschema_status. Los estados y cómo afectan a
si las herramientas del servidor se sirven:
| Estado | Significado | ¿Herramientas servidas? |
|---|---|---|
| (sin línea base) | Primer uso — ninguna línea base registrada aún. | Postura de descubrimiento: Sí (trust-on-first-use — el esquema actual se captura como la línea base). Postura estricta: No — ver pending abajo. |
verified | El esquema en vivo coincide con la línea base aprobada. | Sí |
changed | Deriva detectada — el esquema en vivo difiere de la línea base. | No — falla cerrado |
pending | Un servidor sin línea base bajo una postura estricta (sin trust-on-first-use) — esperando aprobación. | No — falla cerrado |
quarantined | Un admin ha retenido el servidor. | No — falla cerrado |
Los tres estados cerrados —
changed, pending, quarantined — todos detienen
que las herramientas del servidor se sirvan a través del gateway. verified
siempre sirve; un servidor sin línea base sirve solo bajo la postura de
descubrimiento (trust-on-first-use) y se retiene como pending bajo la postura
estricta. La deriva nunca pasa silenciosamente.3. Qué pasa en la deriva
Cuando una re-verificación encuentra que el esquema en vivo ya no coincide con la línea base:El estado voltea a changed
El
schema_status del servidor se vuelve changed y se registra la marca de
tiempo de la deriva.Las herramientas dejan de servirse
El gateway falla cerrado: las herramientas de ese servidor se retienen de la
superficie MCP unificada, así que un agente no puede llamar a las
definiciones cambiadas.
La consola lo aflora
La deriva aparece para revisión así un admin puede comparar el nuevo conjunto
de herramientas contra el aprobado.
4. Re-aprobar un servidor derivado
Re-tomar como línea base es una sola llamada (o la acción de consola):verified. (Poner un
servidor en cuarentena es una acción separada, para cuando decides que el
cambio es hostil — approve_schema solo re-toma como línea base a verified.) La
acción se escribe en el rastro de auditoría.
5. Dónde encaja esto
La detección de deriva de esquema es la mitad de capa de esquema de la defensa contra rug-pull; la otra mitad es la evaluación por llamada en la superficiemcp
(cada tools/call se verifica contra tu política en el despacho). Juntas cubren
tanto “las definiciones cambiaron” como “esta llamada específica es peligrosa”.
Defensa contra rug-pull
El panorama completo de rug-pull — línea base de esquema más evaluación por
llamada.
Resumen de seguridad de MCP
El gateway MCP, las skills y las credenciales.
Envenenamiento de herramientas MCP
La amenaza contra la que defiende esta máquina de estados.
Eventos de auditoría MCP
Monitorear cambios de esquema y decisiones del gateway.