メインコンテンツへスキップ
サードパーティ MCP サーバーは、レビューされていないツールのバンドル、ライブの クレデンシャル、新たなネットワーク到達範囲です。エージェントが直接それをダイヤルした 瞬間、誰もその呼び出しを見ていません — そして「サーバーが承認後にツールを変えた」は、 仮定の話ではなく実際の攻撃です。誰か他人が運用するサーバーにエージェントを向ける前に、 再現可能なプリフライトが欲しくなります。 このページがそのプリフライトです:OrcaRouter ですでに存在する制御 — 呼び出しごとの 評価、デフォルト拒否の許可リスト化、egress 制限、暗号化されたクレデンシャル、スキル 隔離 — を使って mcp server 接続を精査する、短く順序付けられたチェックリストです。 各ステップは深掘りのための焦点を当てた手順にリンクします。新しいサーバーごとに一度 実行し、サーバーが変わるたびにドリフトに敏感なステップを再実行してください。
ここでのすべての設定ステップは、コンソール(またはセッション/アクセストークンを 使った REST API)から行われ、ロールゲートされています。sk-orca-... 形式のキーを 持つのはファイアウォールゲートウェイルートと /v1/* リレー呼び出しだけです。

1. mcp server 接続を精査するチェックリスト

上から下へ作業します。最初の 3 ステップは、自分で運用しない任意のサーバーに必須です; 残りはそれを強化します。

1. 信頼する前にプローブする

ルールを 1 つ書く前に、実際のツールリストと到達可能性を発見します。

2. デフォルト拒否、それから許可リスト化

レビューしたツールだけを許可します;それ以外はすべて拒否されます。

3. クレデンシャルを暗号化する

認証を、保存時に暗号化、読み取り時にマスク、モデルから決して見えないように保存 します。

4. egress をロックする

サーバーのツールがネットワーク上で到達してよい先を制約します。

5. 自己インストールされたスキルを隔離する

エージェントが自分でインストールするものは、人間がレビューするまで保留します。

6. まずシャドウ、それから監視

audit-only でロールアウトし、強制する前にイベントと異常を読みます。

2. 信頼する前にプローブする

見たことのないツールをレビューすることはできず、サーバーのアドバタイズされたツール リストは、あなたの下で最も変わりやすいものです。サーバーを登録し、それからプローブ します — ゲートウェイはエンドポイントに対して MCP initialize + tools/list を実行し、 実際のツールをその入力スキーマとともに、加えて okdegraded、または down の 到達可能性 status を返します。 
# Console route, called with your session/access token (UserAuth). Developer+.
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-access-token>"
すべてのツール名と、その引数が何を受け付けるかを読んでください。予期しなかった shell.exechttp_fetch をアドバタイズするサーバーは、詳細ではなく所見です — それがまずプローブする全目的です。
サーバーが持ち主を変えるたび、またはドリフトが疑われるたびに再プローブします。リストに 新しいツールが現れること — 「ラグプル」 — がまさにあなたが監視しているものです。 ラグプル防御を参照してください。
完全な登録とプローブのリファレンスは ファイアウォール:MCP サーバーに、エンドツーエンドの ウォークスルーはMCP サーバーの接続にあります。

3. デフォルト拒否、それからレビューしたツールを許可リスト化する

許可リストは、「サーバーは 6 つのことができる」と「サーバーはその運用者が明日決める ことなら何でもできる」の違いです。ポリシーの default_verdictdeny に設定し、 それからレビューして信頼したツールごとにルールを追加します。ゲートウェイはすべての ツールを <server>.<tool> で名前空間化するため、他のものに触れずに 1 つのサーバーに ルールをスコープできます。 
// Policy on the mcp surface: deny by default, allow only what you reviewed.
// tool_name_glob supports a full-segment wildcard: "github.*" (prefix),
// "*.exec" (suffix), or "*.shell.*" (infix). Mid-segment globs like
// "github.get_*" fall back to an exact match and won't expand.
{
  "default_verdict": "deny",
  "rules": [
    { "tool_name_glob": "github.create_issue", "verdict": "allow" },
    { "tool_name_glob": "github.get_issue",    "verdict": "allow" }
  ]
}
これで github.create_issue は実行され、github.get_issue は実行され、新たに導入 された github.delete_repo は、あなたがレビューして許可するまで拒否されます。拒否 された tools/call は、ツールエラーfirewall deny: …)としてモデルに戻ります — エージェントはクラッシュする代わりに適応します。 完全なレシピについては MCP ツールの許可リスト化を、マッチング DSL についてはファイアウォールルールを参照してください。

4. クレデンシャルを暗号化する — 認証を手作りしない

サードパーティサーバーはほとんど常にクレデンシャルを必要とし、クレデンシャルは あなたが最も平文で置きたくない、あるいはモデルに到達させたくないものです。サーバーの 認証を OrcaRouter 経由で登録して、保存時に暗号化、読み取り時にマスク、ディスパッチ時 にのみ注入されるようにします。 auth_modenonebeareroauth、または basic のいずれかです: 
# Console route, UserAuth, Developer+.
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-access-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}"
  }'
クレデンシャルは保存された瞬間に暗号化されマスクされます — モデルやクライアントに 到達することは決してなく、読み取り時にはマスクしか見えません。更新時には、保存値を 維持するためにマスクを返してください;ローテーションするときだけ新しい auth_json を 送ります。認証クレデンシャルローテーションを参照して ください。

5. egress をロックする:そのツールはどこに到達できるか?

呼び出しごとの判定はどのツールが実行されるかを決めます;egress はどこに到達して よいかを決めます。「データを返す」ツールと「あなたのシークレットを攻撃者のホストに 持ち出す」ツールは、引数が異なるだけの同じツールでありうる — egress 制御がそれらを 見分けるものです。 ゲートウェイはすでに、すべてのリモートエンドポイントとその解決されたダイヤル IP を、 すべてのホップで SSRF ポリシーに対して検証し、イントラネット範囲とクラウドメタデータ アドレスを拒否し、DNS リバインディングを打ち破るために IP を再チェックします。その上 に、このサーバーが決して触れるべきでないホストと CIDR のために、独自の egress deny ルールを作成します: 
// An egress-stage rule scopes its verdict to the outbound destination.
// egress_json carries host/CIDR allow + deny lists.
{
  "stage": "egress",
  "verdict": "deny",
  "egress_json": "{\"deny\":[\"10.0.0.0/8\"]}"
}
あなたのために CIDR ルールを提供するプリセットはありません — このサーバーが正当に 必要とするものにスコープして、ホスト/CIDR の拒否リストを自分で作成します。 egress 制限データ持ち出しを参照してください。

6. エージェントが自分でインストールするものを隔離する

登録したサーバーはひとつのリスクです;エージェントがその後自己インストールする スキル、BYO MCP サーバー、プラグインは別のものです。OrcaRouter は、インストール可能な すべてのケイパビリティをスキャンし、リスクバンドを割り当て、強制モード — allowquarantine、または block — を導出します。それはすべてのルール判定の上に乗ります。 初回使用で自動検出されたものはすべて、人間がレビューするまで隔離されます:誰も 承認していないケイパビリティは、良性にスキャンされたというだけでフリーパスを得ません。 quarantine のケイパビリティは、deny に満たないものはすべて pending_approval に エスカレートするため、そのツールはあなたが見た後にのみ実行されます。
すべてのスキルを手で登録しようとしないでください。信頼するものを事前承認し、残りは 自動検出されて隔離させて — それから実データからレビューします。モードは再スキャンで より厳しくラチェットし、決して緩くなりません。 ファイアウォール:スキルMCP ツールポイズニングを参照してください。

7. まずシャドウ、それからトレイルを監視する

真新しいサーバーをいきなり強制に切り替えないでください。ポリシーをシャドウモード に置きます — 強制判定は audit にダウングレードされ [shadow] would … としてログに 記録されます — そうすれば、実際にブロックされる前に何がブロックされただろうかを 見られます。監査トレイルが正しく見えたら、シャドウモードを外して強制します。 ライブになった後も、制御は監視を続けます:
すべての統制された呼び出しは、その判定、サーフェス、マッチしたルールを記録します。 許可リストと egress ルールが意図通りに振る舞うことを確認するためにそれらを読み ます。MCP イベントの監査を参照してください。
学習されたベースラインに対する頻度とコストのスパイク、加えてリトライループと新規の ツールパスが、異常として表面化します — 任意の Member が読めます。
observe モードをオンにして、ポリシーがまだカバーしていない呼び出しをギャップとして ログに記録し、推測からではなく、エージェントが実際にすることから厳格化します。

8. 高速パス:自律性レベルを選ぶ

完全には信頼しないサーバーのためにステップ 3〜5 を手で組み立てたくないなら、自律性 レベルを適用してそこから編集します。レベルは実際の編集可能なポリシーとガードレールの 行を書きます — それらはブラックボックスではなく出発点です:
レベル設定するもの
permissiveobserve モードオン — すべてをログに記録し、何も強制しません。
balanced破壊的シェルを拒否するデフォルト audit ポリシー、加えて flag-only モードの PII Shield ガードレール。
tight破壊的シェルと fetch 形状のツール(http_fetch/web_search/fetch_url/request — SSRF ベクター)を拒否するデフォルト拒否ポリシー、加えて強制された PII Shield と Secrets Blocker ガードレール。引数内のシークレットは、ツール引数ルールではなく、リクエストに対する Secrets Blocker ガードレールによって捕捉されます。
まだ精査中のサードパーティサーバーには、tight から始め、プローブし、それから特定の ツールを許可リストに緩めます。ワンクリックの取り消しは、適用前のスナップショットを 復元します。
設定、ポリシー、発見されたツール、異常、登録済み MCP サーバー、スキルの読み取りは 任意の Member に開放されています;イベント、ラン、集計の読み取りには Developer+ が必要で、すべての書き込みには Developer+ が必要です。トークンの平文キーを明らかに することも Developer+ です。

9. 次のステップ

MCP サーバーの接続

サーバーを登録、プローブし、ゲートウェイ経由で公開します。

MCP ツールの許可リスト化

サーバーをデフォルト拒否にし、レビューしたツールだけを許可します。

ラグプル防御

承認後に変化するサーバーまたはスキルを捕捉します。

MCP セキュリティ概要

MCP 統制サーフェスの完全な地図。
このモデルが初めてですか? MCP 統制がどこに収まるかについては ガードレール vs. ファイアウォールを、 それからこのチェックリストが閉じる脅威については 過剰なエージェンシー危険なツール呼び出しを読んでください。