메인 콘텐츠로 건너뛰기
여러분이 등록하는 모든 MCP 서버, 에이전트가 설치하는 모든 skill, 그리고 툴이 도달하는 모든 호스트는 여러분이 작성하지 않은 의존성입니다. 에이전트의 공급망은 동적입니다 — 런타임에, 종종 사람의 개입 없이 자랍니다 — 따라서 고전적인 “빌드 시점에 lockfile을 검토하라” 모델은 성립하지 않습니다. 커뮤니티 skill은 여러분이 신뢰한 후 가로채일 수 있고; 원격 MCP 서버는 조용히 툴을 추가할 수 있으며; fetch 툴은 공격자가 통제하는 호스트로 조종될 수 있습니다. OrcaRouter의 답은 모든 의존성을 설치 시점에 심사하려고 시도하는 대신, 공급망을 그것이 행동하는 곳에서 — 게이트웨이에서, 최초 사용 시 — 통제하는 것입니다. 이 페이지는 ai 공급망 보안에 대한 유스케이스 랜딩 페이지입니다; FirewallSkills 레퍼런스가 전체 메커니즘을 담습니다.

1. 게이트웨이에서의 에이전트 ai 공급망 보안

초크 포인트는 릴레이 경로입니다. 기능이 직접 등록되었든, 에이전트에 의해 자동 설치되었든, 커뮤니티 레지스트리에서 끌어와졌든, 그 첫 툴 호출은 api.orcarouter.ai를 가로지릅니다 — 그리고 그곳이 Firewall이 그것을 평가하는 곳입니다. 네 가지 컨트롤이 단일 자세로 조합됩니다:

MCP 게이트웨이, 호출별 평가

모든 tools/call이 디스패치 전에 여러분의 정책에 대해 평가됩니다 — 매니페스트는 결코 진실의 원천이 아닙니다.

Skill 위험 밴드 & 격리

설치된 기능은 스캔되고, 점수가 매겨지고, 사람이 승인할 때까지 검토를 위해 보류됩니다.

암호화된 MCP 자격 증명

서버 인증 시크릿은 저장 시 암호화되고 디스패치 시 주입됩니다 — 모델, 에이전트, 또는 호출 인자에 결코 노출되지 않습니다.

Egress 허용 목록

툴 호출이 데이터를 보낼 수 있는 곳을 고정하여, 손상된 의존성이 여러분이 결코 승인하지 않은 호스트로 유출할 수 없게 합니다.
탐지는 여러분의 패키지 매니저나 파일시스템이 아니라 게이트웨이에서, 최초 사용 시 일어납니다. 그것은 의도적입니다: 기능이 어떻게 거기에 도달했는지와 무관하게 모든 에이전트와 모든 툴 호출을 보는 단 하나의 경로입니다.

2. 위협: 신뢰한 후 자라는 의존성

벡터무슨 일이 일어나는가
Rug-pull등록된 MCP 서버가 여러분이 결코 승인하지 않은 툴(shell.exec, 새 fetch)을 추가합니다.
Skill creep설치된 skill이 자체 매니페스트가 결코 선언하지 않은 툴이나 호스트를 사용합니다.
자격 증명 탈취손상된 서버의 툴 구현이 자체 인증 시크릿을 읽어 집으로 전화합니다.
Egress 유출retrieve→send 체인이 여러분의 데이터를 공격자가 통제하는 호스트로 보냅니다.
공통 근본 원인: “나는 이 서버를 신뢰한다”가 영구적인 것으로 취급되고, 에이전트가 추가 검토 없이 새롭거나 수정된 툴을 계속 호출합니다.

3. 하나의 구체적 예시 — MCP 서버 등록 및 고정

서드파티 MCP 서버를 콘솔에서 등록합니다(Settings → Firewall → MCP servers; 쓰기는 Developer+ 필요). 서버의 인증 시크릿은 암호화되어 저장됩니다 — 한 번 제공하면, 게이트웨이가 디스패치 시 주입하고, 이후 모든 읽기에서 마스킹됩니다. MCP 서버 레코드는 다음을 담습니다:
필드
auth_modenone, bearer, oauth, basic
statusok, degraded, down (헬스 프로브가 설정)
credentials저장 시 암호화, 평문으로 결코 반환 안 됨
등록 후, 콘솔에서 프로브하여 현재 툴을 열거하세요. 프로브는 Developer+가 필요한 워크스페이스 세션(/api/workspace/firewall/*) 작업이며, 릴레이 키가 아닙니다 — 등록, 프로브, 그리고 규칙 작성 모두 관리 평면에서 일어납니다: 
# Console / management plane — workspace session, Developer+.
# (The relay sk-orca-... key is for /v1/* traffic only.)
curl -X POST https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/<id>/probe \
  -H "Authorization: Bearer <workspace-session-token>"
프로브는 서버의 도달 가능성을 영속시키고 그 광고된 툴 세트의 베이스라인 해시를 스냅샷합니다(최초 사용 시 신뢰). 그런 다음 tool_name_glob: <server>.*로 Firewall 규칙을 pending_approval로 범위 지정하여 깨끗한 호출 히스토리를 볼 때까지 — 그 서버의 모든 호출이 실행 전에 사람을 위해 보류됩니다. 일단 신뢰하면, 규칙을 auditallow로 완화하세요. 그 지점부터 MCP 게이트웨이는 디스패치 전에 mcp 표면에서 모든 tools/call을 평가합니다 — 따라서 나중에 rug-pull이 선언되지 않은 툴을 추가하면, 서버의 매니페스트가 아니라 여러분의 정책이 그것이 실행될지 결정합니다.
업스트림 버전 범프 후에는 다시 프로브하세요 (POST /api/workspace/firewall/mcp_servers/:id/probe, Developer+). 광고된 툴 세트가 승인된 베이스라인에서 표류하면, 서버의 schema_statuschanged로 뒤집히고 디스패치가 admin이 다시 베이스라인 처리하거나 (approve_schema) 격리할 때까지 페일 클로즈합니다 — rug-pull은 조용히 라이브로 갈 수 없습니다.

4. Skill 위험 밴드 & 격리

설치 가능한 모든 기능 — 여러분이 등록했든 게이트웨이가 런타임에 자동 감지했든 — 은 skill 스캐너를 거칩니다. 발견 사항은 위험 밴드강제 모드로 롤업됩니다:
low · medium · high · critical. 밴드는 매니페스트와 선언된 범위에 대한 결정론적 스캐너 패스에서 도출됩니다(선언되지 않은 툴 사용, 승인된 범위 밖의 네트워크 egress, 안전하지 않은 파일시스템 쓰기, 인젝션 형태의 매니페스트 텍스트).
allow(여러분의 정책 규칙이 결정), quarantine(모든 비-deny 판정이 pending_approval로 격상 — 사람이 각 호출을 승인), block(규칙과 무관하게 이 skill의 모든 툴에 deny 강제). high 밴드 skill은 자동 격리되고; critical은 차단됩니다.
에이전트가 자체 설치한 기능, 또는 rug-pull이 추가한 툴은 사람이 검토할 때까지 스캔 점수와 무관하게 pending_approval로 보류됩니다. 운영자가 조용히 툴을 추가하고 여러분의 에이전트가 그것을 쓰기 시작하게 할 수 없습니다.
강제 모드는 오직 더 조이는 방향으로만 래칫됩니다 — skill을 승인해도 새 스캔이 설정한 차단을 결코 완화하지 않습니다.

5. Egress 허용 목록 — “집으로 전화”를 억제하기

가장 피해가 큰 공급망 결과는 유출하는 손상된 의존성입니다. Firewall의 egress 표면은 툴이 보고하는 아웃바운드 목적지(호스트 / IP / CIDR)를 평가하므로, 데이터가 갈 수 있는 곳을 고정할 수 있습니다. egress 규칙을 직접 작성합니다: cidr_match 술어가 있는 호스트/CIDR 허용 목록이 목록 밖의 모든 것을 거부합니다. retrieve→egress 체인을 끊는 시퀀스 규칙과 결합하면, 검색된 문서를 알 수 없는 호스트로 보내려는 오염된 툴이 게이트웨이에서 거부됩니다.
tight 자율성 수준은 SSRF 프리셋을 제공하지만, 그것은 fetch 형태의 툴 이름(http_fetch, web_search, fetch_url, request)을 거부합니다 — CIDR/클라우드 메타데이터 거부 목록이 아닙니다. RFC-1918 / 메타데이터 / 특정 CIDR egress 차단이 필요하면, egress 호스트/CIDR deny 규칙을 직접 작성하세요. cidr_match 연산자와 egress 범위 지정은 Firewall: Rules를 참조하세요.

6. 암호화된 자격 증명 — 손상된 서버가 여러분의 키를 읽을 수 없습니다

서버 인증 시크릿은 저장 시 암호화되고 게이트웨이가 디스패치 시점에 주입합니다. 모델, 에이전트, 또는 툴 호출 인자에 결코 도달하지 않습니다 — 따라서 손상되거나 악성인 서버가 자체 자격 증명 blob을 읽어 여러분의 API 키를 유출할 수 없습니다. 콘솔은 항상 시크릿을 마스킹하여 반환합니다 — Admin에게도 마찬가지입니다. 복호화된 값은 정확히 하나의 경로에서 건네집니다: firewall-gateway-scoped 토큰을 실은 요청(Admin이 게이트웨이/프록시를 위해 명시적으로 발행하는 전용 토큰 타입) 따라서 평범한 유출된 릴레이 키가 여러분의 MCP 자격 증명을 열거할 수 없습니다.

7. 감사를 위해 롤업하기

공급망 거버넌스는 감사 아티팩트이기도 합니다. OrcaRouter는 컴플라이언스 엔진의 일부로 OWASP Top 10 for LLM ApplicationsLLM05 Supply Chain 컨트롤 포함 — 에 매핑되며, soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act 같은 프레임워크와 함께합니다. 컴플라이언스 팩 설치 (POST /api/compliance/packs/:key/install, 워크스페이스 Admin, 유료 플랜)는 매칭되는 guardrail과 firewall 정책을 구체화하고 observe-first 자세로 시작합니다. 컴플라이언스 보고서는 AI 공급망 증거 섹션 — 여러분의 워크스페이스가 실제로 라우팅한 업스트림 프로바이더, 그리고 권한 액세스 및 키 위생 검토 — 를 포함하며 Ed25519 서명되고 공개적으로 검증 가능합니다. 카탈로그와 준비도 탐색은 모든 Member에게 무료입니다; 전체 수명 주기는 Compliance를 참조하세요.
MCP 거버넌스는 두 가지 상호 보완적 계층입니다: mcp 표면에서의 호출별 firewall 평가(의존성이 하는 것에 대한 강제), 그리고 툴 스키마 무결성 베이스라인(광고된 툴 세트의 최초 사용 시 신뢰 해시, 모든 프로브에서 재검사 — 드리프트는 서버의 schema_statuschanged로 뒤집고 admin이 다시 베이스라인 처리하거나 격리할 때까지 디스패치를 페일 클로즈). skill 위험 밴드 및 격리와 함께, 그것은 의존성이 하는 것과 그것이 선언한 것의 검증 가능한 기록 모두에 대한 강제입니다.

8. 공급망 기준선

그것을 등록하고, 툴 세트를 프로브하고, <server>.* 규칙을 pending_approval이나 audit로 범위 지정하세요. 스캔 발견 사항을 읽으세요 — 선언되지 않은 툴이나 외부 egress 발견은 격리를 유지할 이유입니다. 엔드포인트 URL을 누가 통제하는지 확인하세요.
fetch/search/export 툴이 있는 에이전트에 대해 egress 허용 목록을 고정해 두세요. 규칙 없이 나타난 기능은 Discovered tools 뷰를, 새로운 툴 간 경로는 이상 피드를 보세요.
서버를 비활성화하세요(PUT .../mcp_servers, "enabled": false) — 비활성화된 동안 그 자격 증명은 결코 복호화되지 않습니다. 새 툴을 드러내기 위해 다시 프로브하고, skill을 다시 스캔하고, 일괄 승인하기보다 pending_approval 큐를 검토하세요.

9. 관련 위협 & 개념

Firewall: MCP 서버

게이트웨이 뒤에서 MCP 서버를 등록하고, 그 툴을 프로브하고, 어떤 호출이 실제 서버에 도달하기 전에 호출별 판정을 적용합니다.

Firewall: Skills

설치 가능한 모든 기능을 스캔하고 위험 점수를 매깁니다. 위험한 skill을 그 툴이 실행되기 전에 격리하거나 차단합니다.