Przejdź do głównej treści
Każdy serwer MCP, który rejestrujesz, każdy skill, który agent instaluje, i każdy host, do którego sięga narzędzie, to zależność, której nie napisałeś. Łańcuch dostaw agenta jest dynamiczny — rośnie w czasie wykonania, często bez człowieka w pętli — więc klasyczny model „przejrzyj lockfile w czasie budowy” nie obowiązuje. Skill społecznościowy może zostać porwany po tym, jak mu zaufasz; zdalny serwer MCP może po cichu dodać narzędzie; narzędzie fetch może zostać skierowane do hosta kontrolowanego przez atakującego. Odpowiedzią OrcaRouter jest zarządzanie łańcuchem dostaw tam, gdzie działa — w bramie, przy pierwszym użyciu — zamiast prób weryfikowania każdej zależności w czasie instalacji. Ta strona to landing przypadku użycia dla bezpieczeństwa łańcucha dostaw AI; referencje Firewalla i Skilli niosą pełną mechanikę.

1. Bezpieczeństwo łańcucha dostaw AI dla agentów, w bramie

Punktem zwężenia jest ścieżka relay. Niezależnie od tego, czy zdolność została zarejestrowana ręcznie, auto-zainstalowana przez agenta, czy pociągnięta z rejestru społecznościowego, jej pierwsze wywołanie narzędzia przekracza api.orcarouter.ai — i to tam Firewall je ewaluuje. Cztery kontrole komponują się w pojedynczą postawę:

Brama MCP, eval per wywołanie

Każde tools/call jest ewaluowane wobec twojej polityki przed dyspozycją — manifest nigdy nie jest źródłem prawdy.

Pasma ryzyka i kwarantanna skilli

Zainstalowane zdolności są skanowane, oceniane i wstrzymywane do przeglądu, dopóki człowiek ich nie zatwierdzi.

Zaszyfrowane poświadczenia MCP

Sekrety auth serwera są szyfrowane w spoczynku i wstrzykiwane przy dyspozycji — nigdy nie ujawniane modelowi, agentowi ani argumentom wywołań.

Listy dozwolonych egress

Przypnij, dokąd wywołania narzędzi mogą wysyłać dane, aby skompromitowana zależność nie mogła eksfiltrować do hosta, którego nigdy nie zatwierdziłeś.
Wykrywanie odbywa się w bramie, przy pierwszym użyciu — nie w twoim menedżerze pakietów ani systemie plików. To celowe: to jedyna ścieżka, która widzi każdego agenta i każde wywołanie narzędzia niezależnie od tego, jak zdolność się tam wzięła.

2. Zagrożenie: zależność, która rośnie po tym, jak jej zaufasz

WektorCo się dzieje
Rug-pullZarejestrowany serwer MCP dodaje narzędzie (shell.exec, nowy fetch), którego nigdy nie zatwierdziłeś.
Pełzanie skillaZainstalowany skill używa narzędzi lub hostów, których jego manifest nigdy nie zadeklarował.
Kradzież poświadczeńImplementacja narzędzia skompromitowanego serwera odczytuje własny sekret auth, by zadzwonić do domu.
Eksfiltracja egressŁańcuch pobierz→wyślij transportuje twoje dane do hosta kontrolowanego przez atakującego.
Wspólna przyczyna źródłowa: „ufam temu serwerowi” jest traktowane jako trwałe, a agent dalej woła nowe lub zmodyfikowane narzędzia bez dalszego przeglądu.

3. Jeden konkretny przykład — rejestrowanie i przypinanie serwera MCP

Rejestrujesz serwer MCP innej firmy z konsoli (Settings → Firewall → MCP servers; zapisy wymagają Developer+). Sekret auth serwera jest przechowywany zaszyfrowany — dostarczasz go raz, brama wstrzykuje go przy dyspozycji, a jest maskowany przy każdym odczycie potem. Rekord serwera MCP niesie:
PoleWartości
auth_modenone, bearer, oauth, basic
statusok, degraded, down (ustawiane przez sondę zdrowia)
credentialszaszyfrowane w spoczynku, nigdy nie zwracane w postaci jawnej
Po zarejestrowaniu sonduj go z konsoli, aby wyliczyć jego bieżące narzędzia. Sonda to operacja sesji-przestrzeni-roboczej (/api/workspace/firewall/*), która wymaga Developer+, nie klucza relay — rejestracja, sondowanie i pisanie reguł wszystkie odbywają się na płaszczyźnie zarządzania: 
# Console / management plane — workspace session, Developer+.
# (The relay sk-orca-... key is for /v1/* traffic only.)
curl -X POST https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/<id>/probe \
  -H "Authorization: Bearer <workspace-session-token>"
Sonda persystuje osiągalność serwera i robi migawkę bazowego hasha jego ogłoszonego zestawu narzędzi (trust-on-first-use). Następnie ogranicz zakres reguły Firewalla z tool_name_glob: <server>.* do pending_approval, dopóki nie zobaczysz czystej historii wywołań — każde wywołanie z tego serwera jest wstrzymane dla człowieka, zanim się uruchomi. Gdy mu zaufasz, rozluźnij regułę do audit lub allow. Od tego momentu brama MCP ewaluuje każde tools/call na powierzchni mcp przed dyspozycją — więc jeśli rug-pull później doda niezadeklarowane narzędzie, twoja polityka, nie manifest serwera, decyduje, czy się uruchomi.
Sonduj ponownie po dowolnym podbiciu wersji nadrzędnej (POST /api/workspace/firewall/mcp_servers/:id/probe, Developer+). Jeśli ogłoszony zestaw narzędzi zdryfuje od zatwierdzonej bazowej linii, schema_status serwera przeskakuje na changed, a dyspozycja fail closed, dopóki admin nie zrobi ponownej bazowej linii (approve_schema) lub nie podda go kwarantannie — rug-pull nie może wejść na żywo po cichu.

4. Pasma ryzyka i kwarantanna skilli

Każda instalowalna zdolność — czy ją zarejestrowałeś, czy brama auto-wykryła ją w czasie wykonania — jest przepuszczana przez skaner skilli. Znaleziska zwijają się do pasma ryzyka i trybu egzekwowania:
low · medium · high · critical. Pasmo jest wyprowadzane z deterministycznych przebiegów skanera nad manifestem i zadeklarowanymi zakresami (niezadeklarowane użycie narzędzi, egress sieciowy poza zatwierdzonymi zakresami, niebezpieczne zapisy do systemu plików, tekst manifestu w kształcie injection).
allow (decydują twoje reguły polityki), quarantine (dowolny werdykt poza deny eskaluje do pending_approval — człowiek zatwierdza każde wywołanie), block (wymuś deny na wszystkich narzędziach tego skilla niezależnie od reguł). Skill pasma high poddaje się kwarantannie automatycznie; critical blokuje.
Zdolność, którą agent sam instaluje, lub narzędzie, które dodaje rug-pull, jest wstrzymywane w pending_approval niezależnie od jego wyniku skanu, dopóki człowiek go nie przejrzy. Operator nie może po cichu dodać narzędzia i sprawić, by twoje agenty zaczęły go używać.
Tryb egzekwowania zaciska się tylko mocniej — zatwierdzenie skilla nigdy nie rozluźnia bloku, który ustawił świeży skan.

5. Listy dozwolonych egress — ogranicz „dzwonienie do domu”

Najbardziej szkodliwym efektem łańcucha dostaw jest skompromitowana zależność, która eksfiltruje. Powierzchnia egress Firewalla ewaluuje wychodzące miejsce docelowe (host / IP / CIDR), które narzędzie zgłasza, więc możesz przypiąć, dokąd dane mogą iść. Sam piszesz regułę egress: lista dozwolonych host/CIDR z predykatem cidr_match odmawia wszystkiego spoza listy. Połącz ją z regułą sekwencji, która łamie łańcuch pobierz→egress, a zatrute narzędzie, które próbuje przetransportować pobrany dokument do nieznanego hosta, jest odmawiane w bramie.
Poziom autonomii tight dostarcza preset SSRF, ale odmawia nazw narzędzi w kształcie fetch (http_fetch, web_search, fetch_url, request) — to nie jest lista odmów CIDR/metadane-chmury. Jeśli potrzebujesz blokowania egress RFC-1918 / metadanych / konkretnego-CIDR, sam napisz regułę deny egress host/CIDR. Zobacz Firewall: Reguły dla operatora cidr_match i ograniczania zakresu egress.

6. Zaszyfrowane poświadczenia — skompromitowany serwer nie może odczytać twoich kluczy

Sekrety auth serwera są szyfrowane w spoczynku i wstrzykiwane przez bramę w czasie dyspozycji. Nigdy nie docierają do modelu, agenta ani argumentów wywołania narzędzia — więc skompromitowany lub złośliwy serwer nie może eksfiltrować twoich kluczy API przez odczytanie własnego bloba poświadczeń. Konsola zawsze zwraca sekret zamaskowany — nawet Adminowi. Odszyfrowana wartość jest wydawana na dokładnie jednej ścieżce: żądaniu niosącym token w zakresie firewall-gateway (dedykowany typ tokena, który Admin jawnie wybija dla bramy/proxy), więc zwykły wyciekły klucz relay nie może wyliczyć twoich poświadczeń MCP.

7. Zwijanie tego do audytu

Zarządzanie łańcuchem dostaw jest też artefaktem audytu. OrcaRouter mapuje się na OWASP Top 10 dla aplikacji LLM — w tym kontrolę LLM05 Supply Chain — jako część silnika zgodności, obok frameworków takich jak soc2, iso_27001, iso_42001, nist_ai_rmf oraz eu_ai_act. Instalacja pakietu zgodności (POST /api/compliance/packs/:key/install, Admin przestrzeni roboczej, plan płatny) materializuje pasujące guardrails i polityki firewalla i zaczyna w postawie observe-first. Raporty zgodności zawierają sekcję dowodów łańcucha-dostaw-AI — dostawców nadrzędnych, do których twoja przestrzeń robocza faktycznie routowała, plus przegląd dostępu uprzywilejowanego i higieny kluczy — i są podpisane Ed25519 oraz publicznie weryfikowalne. Przeglądanie katalogu i gotowości jest darmowe dla każdego Membera; zobacz Zgodność dla pełnego cyklu życia.
Zarządzanie MCP to dwie komplementarne warstwy: ewaluacja firewalla per wywołanie na powierzchni mcp (egzekwowanie tego, co zależność robi), plus bazowa linia integralności schematu narzędzi (hash trust-on-first-use ogłoszonego zestawu narzędzi, ponownie sprawdzany przy każdej sondzie — dryf przeskakuje schema_status serwera na changed i powoduje fail-closed dyspozycji, dopóki admin nie zrobi ponownej bazowej linii lub nie podda go kwarantannie). Razem z pasmami ryzyka skilli i kwarantanną to egzekwowanie zarówno tego, co zależność robi, jak i weryfikowalny zapis tego, co zadeklarowała.

8. Baza łańcucha dostaw

Zarejestruj go, sonduj jego zestaw narzędzi i ogranicz zakres reguły <server>.* do pending_approval lub audit. Przeczytaj znaleziska skanu — każde znalezisko niezadeklarowanego-narzędzia lub zewnętrznego-egress to powód, by trzymać go w kwarantannie. Zweryfikuj, kto kontroluje URL endpointa.
Trzymaj listę dozwolonych egress przypiętą dla każdego agenta z narzędziami fetch/search/export. Obserwuj widok Discovered tools pod kątem zdolności, które pojawiły się bez reguły, oraz strumień anomalii pod kątem nowych ścieżek narzędzie-do-narzędzia.
Wyłącz serwer (PUT .../mcp_servers, "enabled": false) — jego poświadczenia nigdy nie są odszyfrowywane, gdy wyłączony. Sonduj ponownie, aby wypłynąć nowe narzędzia, przeskanuj skill ponownie i przejrzyj kolejkę pending_approval zamiast masowego zatwierdzania.

9. Pokrewne zagrożenia i pojęcia

Firewall: Serwery MCP

Rejestruj serwery MCP za bramą, sonduj ich narzędzia i stosuj werdykt per wywołanie, zanim jakiekolwiek wywołanie dotrze do prawdziwego serwera.

Firewall: Skille

Skanuj i oceniaj ryzyko każdej instalowalnej zdolności. Poddawaj kwarantannie lub blokuj ryzykowne skille, zanim ich narzędzia się uruchomią.