Vai al contenuto principale
Un “rug-pull” è un MCP server che cambia le sue definizioni di tool dopo che l’hai approvato — ri-definendo un tool fidato per fare qualcosa di nuovo, o aggiungendone uno in silenzio. OrcaRouter coglie questo al layer dello schema: mette a baseline l’insieme di tool pubblicizzato di ogni server e lo ri-controlla a ogni load, così il drift fallisce closed invece di servire in silenzio i tool modificati. Questa pagina è il riferimento per lo schema status per-server e cosa significa ogni stato per il traffico.

1. Il fingerprint del baseline

Al primo contatto il gateway calcola un hash canonico dell’insieme di tool pubblicizzato del server e lo memorizza come baseline approvato:
  • L’hash copre name, description e input JSON schema di ogni tool — esattamente la superficie che un rug-pull altererebbe (un tool che acquisisce un argomento di esfiltrazione, o una descrizione armata per la prompt injection fa cambiare l’hash).
  • È indipendente dall’ordine: un server che ri-ordina la sua lista di tool, o ri-ordina le chiavi dentro uno schema, non sembra un cambiamento. Solo un cambiamento reale di definizione sposta l’hash.
A ogni probe successivo il gateway ri-hasha i tool live e li confronta con il baseline memorizzato. Questo è un controllo per-server — non dipende da nessuna regola che scrivi.

2. Il ciclo di vita dello schema status

Ogni server registrato porta uno schema_status. Gli stati e come influenzano se i tool del server vengono serviti:
StatusSignificatoTool serviti?
(senza baseline)Primo uso — nessun baseline registrato ancora.Postura di discovery: Sì (trust-on-first-use — lo schema corrente viene catturato come baseline). Postura strict: No — vedi pending sotto.
verifiedLo schema live corrisponde al baseline approvato.
changedDrift rilevato — lo schema live differisce dal baseline.No — fallisce closed
pendingUn server senza baseline sotto una postura strict (no trust-on-first-use) — in attesa di approvazione.No — fallisce closed
quarantinedUn admin ha messo in attesa il server.No — fallisce closed
I tre stati closed — changed, pending, quarantined — fermano tutti i tool del server dall’essere serviti attraverso il gateway. verified serve sempre; un server senza baseline serve solo sotto la postura di discovery (trust-on-first-use) ed è messo in attesa come pending sotto la postura strict. Il drift non passa mai in silenzio.

3. Cosa succede al drift

Quando un ri-controllo scopre che lo schema live non corrisponde più al baseline:
1

Lo status passa a changed

Lo schema_status del server diventa changed e il timestamp del drift viene registrato.
2

I tool smettono di essere serviti

Il gateway fallisce closed: i tool di quel server vengono trattenuti dalla superficie MCP unificata, così un agent non può chiamare le definizioni modificate.
3

La console lo presenta

Il drift compare per la revisione così un admin può confrontare il nuovo insieme di tool con quello approvato.
4

Ri-baselinizza o metti in quarantena

Un admin approva il nuovo schema (ri-baselinizza — l’insieme di tool corrente diventa il nuovo baseline verified) o mette in quarantena il server. Finché una di queste cose non succede, il server resta closed.

4. Ri-approvare un server driftato

La ri-baselinizzazione è una singola chiamata (o l’azione di console): 
POST /api/workspace/firewall/mcp_servers/:id/approve_schema
Richiede il ruolo Developer. Registra l’insieme di tool live come nuovo baseline approvato e riporta il server a verified. (Mettere in quarantena un server è un’azione separata, per quando decidi che il cambiamento è ostile — approve_schema ri-baselinizza solo a verified.) L’azione viene scritta nella traccia di audit.
Ri-approva solo dopo aver revisionato il diff. Approvare uno schema driftato senza controllarlo vanifica il controllo — dice a OrcaRouter che le nuove (possibilmente malevole) definizioni di tool sono fidate.

5. Dove si colloca

Il rilevamento del drift di schema è la metà a layer di schema della difesa dai rug-pull; l’altra metà è la valutazione per chiamata sulla superficie mcp (ogni tools/call viene controllato contro la tua policy al dispatch). Insieme coprono sia “le definizioni sono cambiate” che “questa specifica chiamata è pericolosa”.

Difesa dai rug-pull

Il quadro completo dei rug-pull — baseline dello schema più valutazione per chiamata.

Panoramica sulla sicurezza MCP

Il gateway MCP, le skill e le credenziali.

Avvelenamento dei tool MCP

La minaccia contro cui questa macchina a stati difende.

Eventi di audit MCP

Monitorare i cambiamenti di schema e le decisioni del gateway.