メインコンテンツへスキップ
登録するすべての MCP サーバー、エージェントがインストールするすべてのスキル、ツールが 到達するすべてのホストは、あなたが書いていない依存関係です。エージェントのサプライ チェーンは動的です — 実行時に、しばしば人間の関与なしに成長します — そのため古典的な 「ビルド時に lockfile をレビューする」モデルは成り立ちません。コミュニティスキルは 信頼した後にハイジャックされ得ます;リモート MCP サーバーはひそかにツールを追加でき ます;フェッチツールは攻撃者制御のホストに誘導され得ます。 OrcaRouter の答えは、すべての依存関係をインストール時に審査しようとする代わりに、 サプライチェーンをそれが行動する場所 — ゲートウェイで、初回使用時に — 統制する ことです。このページは AI サプライチェーンセキュリティのユースケースランディング です;ファイアウォールスキルのリファレンスが完全なメカニクスを運びます。

1. ゲートウェイでのエージェントのための AI サプライチェーンセキュリティ

チョークポイントはリレーパスです。ケイパビリティが手動登録されたか、エージェントによって 自動インストールされたか、コミュニティレジストリから引っ張られたかに関わらず、その 最初のツール呼び出しは api.orcarouter.ai を横切ります — そしてそこでファイアウォールが それを評価します。4 つのコントロールが単一の姿勢に組み合わさります:

MCP ゲートウェイ、呼び出しごとの eval

すべての tools/call は、ディスパッチ前にあなたのポリシーに対して評価されます — マニフェストは決して真実の源ではありません。

スキルリスク帯域 & 隔離

インストールされたケイパビリティは、スキャンされ、スコアリングされ、人間が承認する までレビューのために保留されます。

暗号化された MCP クレデンシャル

サーバー認証シークレットは保存時に暗号化され、ディスパッチ時に注入されます — モデル、エージェント、呼び出し引数に決して公開されません。

egress 許可リスト

ツール呼び出しがデータを送ってよい場所を固定し、侵害された依存関係が一度も承認しなかった ホストに持ち出せないようにします。
検出はゲートウェイで、初回使用時に行われます — パッケージマネージャやファイルシステムの 内部ではありません。これは意図的なものです:ケイパビリティがどのようにそこへ到達したかに 関わらず、すべてのエージェントとすべてのツール呼び出しを見る唯一のパスなのです。

2. 脅威:信頼した後に成長する依存関係

ベクトル何が起きるか
ラグプル登録された MCP サーバーが、一度も承認しなかったツール(shell.exec、新しい fetch)を追加します。
スキルクリープインストールされたスキルが、マニフェストが一度も宣言しなかったツールやホストを使います。
クレデンシャル窃取侵害されたサーバーのツール実装が、自身の認証シークレットを読んでホームに電話します。
egress 持ち出しretrieve→send チェーンがあなたのデータを攻撃者制御のホストに送ります。
共通の根本原因:「私はこのサーバーを信頼する」が永続的なものとして扱われ、エージェントは それ以上のレビューなしに新規または変更されたツールを呼び出し続けます。

3. ひとつの具体例 — MCP サーバーの登録と固定

サードパーティの MCP サーバーをコンソールから登録します(Settings → Firewall → MCP servers;書き込みには Developer+ が必要)。サーバーの認証シークレットは暗号化保存 されます — あなたが一度供給すると、ゲートウェイがディスパッチ時にそれを注入し、それ以降の すべての読み取りでマスクされます。 MCP サーバーレコードは次を運びます:
フィールド
auth_modenonebeareroauthbasic
statusokdegradeddown(ヘルスプローブが設定)
credentials保存時に暗号化、平文では決して返されない
登録後、コンソールからプローブして現在のツールを列挙します。プローブは Developer+ を 必要とするワークスペースセッション(/api/workspace/firewall/*)操作であり、リレーキー ではありません — 登録、プローブ、ルール記述はすべて管理プレーンで行われます: 
# Console / management plane — workspace session, Developer+.
# (The relay sk-orca-... key is for /v1/* traffic only.)
curl -X POST https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/<id>/probe \
  -H "Authorization: Bearer <workspace-session-token>"
プローブはサーバーの到達可能性を永続化し、そのアドバタイズされたツールセットの ベースラインハッシュをスナップショットします(トラストオンファーストユース)。それから、 クリーンな呼び出し履歴を見るまで、tool_name_glob: <server>.* を持つファイアウォール ルールを pending_approval にスコープします — そのサーバーからのすべての呼び出しが、 実行される前に人間のために保留されます。信頼したら、ルールを audit または allow に 緩めます。それ以降、MCP ゲートウェイが、ディスパッチ前に mcp サーフェスですべての tools/call を評価します — そのため、後でラグプルが宣言されていないツールを追加しても、 サーバーのマニフェストではなくあなたのポリシーが、それが実行されるかどうかを決めます。
アップストリームのバージョンバンプ後は再プローブしてください (POST /api/workspace/firewall/mcp_servers/:id/probe、Developer+)。アドバタイズされた ツールセットが承認済みベースラインからドリフトすると、サーバーの schema_statuschanged に切り替わり、管理者が再ベースライン化(approve_schema)または隔離するまで ディスパッチはフェイルクローズします — ラグプルはサイレントにライブ化できません。

4. スキルリスク帯域 & 隔離

インストール可能なすべてのケイパビリティ — あなたが登録したか、ゲートウェイが実行時に 自動検出したかに関わらず — は、スキルスキャナを通されます。 発見はリスク帯域強制モードにロールアップされます:
low · medium · high · critical。帯域は、マニフェストと宣言されたスコープに 対する決定的なスキャナパス(宣言されていないツール使用、承認済みスコープ外のネットワーク egress、安全でないファイルシステム書き込み、インジェクション形状のマニフェストテキスト) から導出されます。
allow(あなたのポリシールールが決定)、quarantine(deny 以外の判定が pending_approval にエスカレート — 人間が各呼び出しを承認)、block(ルールに 関わらずこのスキルのすべてのツールに deny を強制)。high 帯域のスキルは自動的に 隔離されます;critical はブロックします。
エージェントが自己インストールしたケイパビリティ、あるいはラグプルが追加したツールは、 人間がレビューするまで、スキャンスコアに関わらず pending_approval に保留されます。 オペレーターがひそかにツールを追加し、あなたのエージェントに使い始めさせることは できません。
強制モードは常により締まる方向にのみラチェットします — スキルを承認しても、新鮮な スキャンが設定したブロックを決して緩めません。

5. egress 許可リスト — 「ホームへの電話」を封じ込める

最も損害の大きいサプライチェーンの結果は、持ち出す侵害された依存関係です。ファイアウォールの egress サーフェスは、ツールが報告するアウトバウンドの宛先(host / IP / CIDR)を評価 するため、データがどこへ行ってよいかを固定できます。 egress ルールは自分で記述します:cidr_match 述語を持つ host/CIDR 許可リストが、 リスト外のすべてを deny します。retrieve→egress チェーンを断ち切るシーケンスルールと 組み合わせると、取得されたドキュメントを未知のホストに送ろうとする汚染されたツールは、 ゲートウェイで deny されます。
tight 自律性レベルは SSRF プリセットを出荷しますが、それはフェッチ形状のツール名http_fetchweb_searchfetch_urlrequest)を deny します — CIDR/クラウド メタデータ拒否リストではありません。RFC-1918 / メタデータ / 特定 CIDR の egress ブロックが必要な場合は、egress host/CIDR の deny ルールを自分で記述してください。 cidr_match 演算子と egress スコーピングについては ファイアウォール:ルールを参照してください。

6. 暗号化されたクレデンシャル — 侵害されたサーバーがあなたのキーを読めない

サーバー認証シークレットは保存時に暗号化され、ディスパッチ時にゲートウェイによって注入 されます。モデル、エージェント、ツール呼び出し引数に決して到達しません — そのため、 侵害された、あるいは悪意あるサーバーは、自身のクレデンシャルブロブを読むことで API キーを 持ち出せません。コンソールは常にシークレットをマスクして返します — Admin に対してさえ。 復号された値はちょうどひとつのパスで渡されます:firewall-gateway-scoped トークン (Admin が明示的にゲートウェイ/プロキシのために発行する専用のトークン型)を運ぶ リクエスト。そのため、通常の漏洩したリレーキーがあなたの MCP クレデンシャルを列挙する ことはできません。

7. 監査のためにまとめる

サプライチェーン統制は監査アーティファクトでもあります。OrcaRouter は、コンプライアンス エンジンの一部として、soc2iso_27001iso_42001nist_ai_rmfeu_ai_act などの フレームワークと並んで、OWASP Top 10 for LLM ApplicationsLLM05 Supply Chain コントロールを含む — にマップします。 コンプライアンスパックのインストール (POST /api/compliance/packs/:key/install、ワークスペース Admin、有料プラン)は、 マッチするガードレールとファイアウォールポリシーを具現化し、observe-first の姿勢で開始 します。コンプライアンスレポートには AI サプライチェーン証拠セクション — ワークスペースが 実際にルーティングしたアップストリームプロバイダ、加えて特権アクセスとキーハイジーンの レビュー — が含まれ、Ed25519 署名され公開検証可能です。カタログと準備状況の閲覧は すべての Member に無料です;完全なライフサイクルについては コンプライアンスを参照してください。
MCP 統制は 2 つの補完的な層です:mcp サーフェスでの呼び出しごとのファイアウォール評価 (依存関係がすることに対する強制)、加えてツールスキーマ整合性ベースライン (アドバタイズされたツールセットのトラストオンファーストユースハッシュ、すべてのプローブで 再チェック — ドリフトがサーバーの schema_statuschanged に切り替え、管理者が再 ベースライン化または隔離するまでディスパッチをフェイルクローズします)。スキルリスク 帯域と隔離と合わせて、それは依存関係がすることと、それが宣言したものの検証可能な記録の 両方に対する強制です。

8. サプライチェーンベースライン

登録し、そのツールセットをプローブし、<server>.* ルールを pending_approval または audit にスコープします。スキャンの発見を読みます — 宣言されていないツールや外部 egress の発見はいずれも、隔離を維持する理由です。エンドポイント URL を誰が制御して いるかを検証します。
fetch/search/export ツールを持つどのエージェントにも、egress 許可リストを固定して おきます。ルールなしで現れたケイパビリティについては Discovered toolsビューを、新規のツール間パスについては 異常フィードを監視します。
サーバーを無効化します(PUT .../mcp_servers"enabled": false) — そのクレデンシャルは 無効化中は決して復号されません。再プローブして新しいツールを表面化し、スキルを再 スキャンし、一括承認するのではなく pending_approval キューをレビューします。

9. 関連する脅威 & コンセプト

ファイアウォール:MCP サーバー

MCP サーバーをゲートウェイの背後に登録し、ツールをプローブし、任意の呼び出しが本物の サーバーに到達する前に呼び出しごとの判定を適用します。

ファイアウォール:スキル

インストール可能なすべてのケイパビリティをスキャンしリスクスコアリングします。リスクの あるスキルを、そのツールが実行される前に隔離またはブロックします。