Przejdź do głównej treści
„Rug-pull” to serwer MCP, który zmienia swoje definicje narzędzi po tym, jak go zatwierdziłeś — redefiniując zaufane narzędzie, by robiło coś nowego, lub po cichu dodając jedno. OrcaRouter łapie to na warstwie schematu: baselinuje ogłoszony zestaw narzędzi każdego serwera i ponownie sprawdza go przy każdym załadowaniu, więc dryf zawodzi zamknięty, zamiast po cichu serwować zmienione narzędzia. Ta strona to referencja dla statusu schematu per serwer i tego, co każdy stan oznacza dla ruchu.

1. Odcisk palca bazy

Przy pierwszym kontakcie brama oblicza kanoniczny hash ogłoszonego zestawu narzędzi serwera i przechowuje go jako zatwierdzoną bazę:
  • Hash pokrywa nazwę, opis i schemat wejścia JSON każdego narzędzia — dokładnie powierzchnię, którą rug-pull by zmienił (narzędzie zyskujące argument eksfiltracji lub opis uzbrojony pod prompt injection przerzuca hash).
  • Jest niezależny od kolejności: serwer zmieniający kolejność swojej listy narzędzi lub kolejność kluczy wewnątrz schematu nie wygląda jak zmiana. Tylko prawdziwa zmiana definicji przesuwa hash.
Przy każdym późniejszym sondowaniu brama ponownie hashuje żywe narzędzia i porównuje je z przechowywaną bazą. To sprawdzenie per serwer — nie zależy od żadnej reguły, którą autorujesz.

2. Cykl życia statusu schematu

Każdy zarejestrowany serwer niesie schema_status. Stany i jak wpływają na to, czy narzędzia serwera są serwowane:
StatusZnaczenieNarzędzia serwowane?
(niebaselinowany)Pierwsze użycie — żadna baza jeszcze nie zarejestrowana.Postawa odkrywcza: Tak (trust-on-first-use — bieżący schemat jest przechwytywany jako baza). Postawa ścisła: Nie — zobacz pending poniżej.
verifiedŻywy schemat pasuje do zatwierdzonej bazy.Tak
changedWykryto dryf — żywy schemat różni się od bazy.Nie — zawodzi zamknięty
pendingNiebaselinowany serwer pod ścisłą (bez trust-on-first-use) postawą — oczekuje na zatwierdzenie.Nie — zawodzi zamknięty
quarantinedAdmin wstrzymał serwer.Nie — zawodzi zamknięty
Trzy stany zamknięte — changed, pending, quarantined — wszystkie zatrzymują serwowanie narzędzi serwera przez bramę. verified zawsze serwuje; niebaselinowany serwer serwuje tylko pod postawą odkrywczą (trust-on-first-use) i jest wstrzymany jako pending pod postawą ścisłą. Dryf nigdy nie przechodzi po cichu.

3. Co dzieje się przy dryfie

Gdy ponowne sprawdzenie znajdzie, że żywy schemat nie pasuje już do bazy:
1

Status przerzuca się na changed

schema_status serwera staje się changed i rejestrowany jest znacznik czasu dryfu.
2

Narzędzia przestają być serwowane

Brama zawodzi zamknięta: narzędzia tego serwera są wstrzymane z ujednoliconej powierzchni MCP, więc agent nie może wywołać zmienionych definicji.
3

Konsola to wystawia

Dryf pojawia się do recenzji, tak by admin mógł porównać nowy zestaw narzędzi z zatwierdzonym.
4

Zbaselinuj ponownie lub poddaj kwarantannie

Admin zatwierdza nowy schemat (baselinuje ponownie — bieżący zestaw narzędzi staje się nową bazą verified) lub poddaje serwer kwarantannie. Dopóki jedno z tego się nie stanie, serwer pozostaje zamknięty.

4. Ponowne zatwierdzanie zdryfowanego serwera

Ponowne baselinowanie to pojedyncze wywołanie (lub akcja konsoli): 
POST /api/workspace/firewall/mcp_servers/:id/approve_schema
Wymaga roli Developer. Rejestruje żywy zestaw narzędzi jako nową zatwierdzoną bazę i zwraca serwer do verified. (Kwarantanna serwera to osobna akcja, gdy zdecydujesz, że zmiana jest wroga — approve_schema tylko baselinuje ponownie do verified.) Akcja jest zapisywana do śladu audytu.
Zatwierdzaj ponownie tylko po zrecenzowaniu różnicy. Zatwierdzenie zdryfowanego schematu bez jego sprawdzenia pokonuje kontrolę — mówi OrcaRouterowi, że nowe (być może złośliwe) definicje narzędzi są zaufane.

5. Gdzie to pasuje

Wykrywanie dryfu schematu to schematowa połowa obrony przed rug-pull; druga połowa to ewaluacja per wywołanie na powierzchni mcp (każde tools/call jest sprawdzane wobec twojej polityki przy dyspozycji). Razem pokrywają zarówno „definicje się zmieniły”, jak i „to konkretne wywołanie jest niebezpieczne”.

Obrona przed rug-pull

Pełny obraz rug-pull — baza schematu plus ewaluacja per wywołanie.

Przegląd bezpieczeństwa MCP

Brama MCP, skille i poświadczenia.

Zatruwanie narzędzi MCP

Zagrożenie, przeciwko któremu broni ta maszyna stanów.

Zdarzenia audytu MCP

Monitorowanie zmian schematu i decyzji bramy.