Chuyển đến nội dung chính
Một agent nói Model Context Protocol (MCP) chỉ an toàn ngang với các server mà nó kết nối tới. Mỗi MCP server là một tập tool mới, một credential mới, và một phạm vi tiếp cận mạng mới — và khoảnh khắc một agent dial trực tiếp tới một server, không ai đang theo dõi cuộc gọi đó. Đó là toàn bộ vấn đề mà mcp security phải giải quyết: không phải “tool này có an toàn không” mà là “ai quản lý tất cả chúng, trên mọi cuộc gọi, với một dấu vết audit duy nhất.” Câu trả lời của OrcaRouter là một điểm nghẽn được audit duy nhất. Bạn đăng ký mỗi MCP server một lần; các agent kết nối tới một gateway; và mọi tools/call chạy qua engine firewall trước khi nó đến được server thật. Trang này là bản đồ của bề mặt đó — gateway, verdict theo từng cuộc gọi, quản lý skill, egress, và credential được mã hóa — với các liên kết tới hướng dẫn how-to tập trung cho mỗi phần.
Mọi hành động quản lý ở đây được cấu hình từ console (hoặc REST API với session/access token của bạn) và được kiểm soát bằng vai trò. Chỉ các cuộc gọi relay /v1/* và các route gateway của firewall mang theo một key kiểu sk-orca-....

1. Tại sao mcp security cần một gateway

Trỏ mười agent vào năm community MCP server trực tiếp và bạn nhận được điều tệ nhất của mọi thế giới: không có chính sách chung, không có dấu vết audit, credential được sao chép vào mười config agent, và một tool tên shell.exec chỉ cách một redirect tới endpoint cloud-metadata của bạn. Gateway gom tất cả thứ đó thành một kết nối được quản lý.

Một kết nối, mọi server

Các agent kết nối tới một endpoint duy nhất. Gateway tổng hợp các tool của mọi server đã bật, có thể tiếp cận được dưới namespace <server>.<tool>.

Chính sách trên mọi cuộc gọi

Mỗi tools/call được chính sách firewall của bạn đánh giá trước khi dispatch.

Credential được mã hóa

Secret xác thực server được mã hóa lúc nghỉ, masked khi đọc, và tiêm vào lúc dispatch — chúng không bao giờ đến được mô hình hoặc client.

Egress được kiểm soát

Endpoint của một server đã đăng ký được xác thực đối với các dải IP riêng và cloud-metadata theo mặc định. Với các đích theo từng tool, hãy áp dụng danh sách deny egress SSRF baseline hoặc tự soạn các quy tắc host/CIDR của riêng bạn.
Về các nền tảng đằng sau tất cả những điều này, xem Bảo mật AI agentTại sao zero trust.

2. Bốn khối xây dựng

Quản lý MCP trên OrcaRouter gồm bốn mảnh phối hợp. Chọn mảnh khớp với câu hỏi bạn đang cố trả lời.
Một endpoint duy nhất mà các agent của bạn kết nối tới thay vì dial trực tiếp các server. Nó tổng hợp các tool của mọi server đã đăng ký, được đặt namespace <server>.<tool>, và phơi bày lại input schema của mỗi tool nguyên văn. Bắt đầu tại Kết nối một MCP serverXác thực; tham chiếu đầy đủ nằm trong Firewall: MCP servers.
Gateway chạy mỗi tools/call qua firewall trên bề mặt mcp và trả về một verdict — allow, audit, deny, sanitize, hoặc pending_approvaltrước khi dispatch. Xem Allow-list các tool MCPSanitize argument của tool.
Các khả năng mà một agent tự cài đặt — skill, BYO MCP server, plugin — được quét, gán một dải rủi ro, và được cấp một enforcement mode (allow / quarantine / block) xếp chồng lên trên mọi verdict quy tắc. Xem Firewall: skillsPhòng thủ rug-pull.
Secret xác thực của mỗi server được mã hóa lúc nghỉ và masked khi đọc. Xem Xác thựcXoay vòng credential.

3. Một tools/call được đánh giá như thế nào

Khi một agent gọi một tool qua gateway, cuộc gọi không đi thẳng tới server. Nó được đối chiếu với chính sách workspace của bạn, enforcement mode của skill sở hữu được áp dụng lên trên, và chỉ một verdict allow / audit / sanitize mới đến được server thật.
VerdictNhững gì agent thấy
allow / auditĐược chuyển tiếp. audit cũng ghi log một sự kiện.
sanitizeĐược chuyển tiếp với các argument đã redact (không bao giờ là kết quả).
deny / pending_approvalTrả về như một lỗi tool, nên agent có thể thích nghi thay vì crash.
Một cuộc gọi MCP bị block quay lại như một lỗi tool (firewall deny: …), cùng hình dạng mà bất kỳ tool nào đang thất bại trả về — agent có thể thử lại theo cách khác, hỏi người dùng, hoặc dừng. Nó không phải một crash truyền tải.
Bộ từ vựng verdict, các bề mặt, và việc khớp quy tắc được ghi đầy đủ trong FirewallQuy tắc firewall; mô hình khái niệm nằm trong Enforcement modeOrcaRouter kiểm tra như thế nào.

4. Đăng ký một server (một ví dụ cụ thể)

Bạn đăng ký mỗi server một lần. Một bản ghi server mang theo một name (duy nhất theo workspace, không có .), một endpoint, một auth_mode (none / bearer / oauth / basic), và các credential được mã hóa của nó. Hãy làm điều này từ console — thao tác ghi yêu cầu Developer+. 
# Console route, called with your session/access token (UserAuth).
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-access-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}",
    "enabled": true
  }'
Sau đó probe nó để khám phá các tool của nó và ghi lại khả năng tiếp cận (ok / degraded / down): 
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-access-token>"
Giờ bạn có thể viết các quy tắc đối với github.* khi biết chính xác github.create_issue chấp nhận cái gì. Hướng dẫn từ đầu đến cuối nằm trong Kết nối một MCP server.
Secret không bao giờ được lưu dưới dạng plaintext. auth_json được mã hóa lúc nghỉ và masked khi đọc; trên một update, echo mask trở lại để giữ giá trị đã lưu. Xem Xoay vòng credential.

5. Kết nối một agent với gateway

Khi các server đã được đăng ký, trỏ bất kỳ MCP client nào vào gateway với một key có phạm vi firewall-gateway (một token không có phạm vi đó nhận 403): 
https://api.orcarouter.ai/api/v1/firewall/mcp
Gateway nói streamable HTTP và quảng bá các tool của mọi server đã bật, có thể tiếp cận được dưới namespace <server>.<tool>. Một SDK tự proxy các cuộc gọi có thể đọc registry runtime từ GET /api/v1/firewall/mcp_servers với cùng gateway token đó.

6. Khóa chặt những gì các tool có thể vươn tới

Các verdict theo từng cuộc gọi quản lý tool nào chạy; các kiểm soát egress quản lý nơi nó có thể vươn tới. Hai lớp phối hợp với nhau. Trước tiên, khi gateway kết nối tới endpoint của một server đã đăng ký, URL đó được xác thực đối với các dải riêng (RFC1918), loopback, link-local, và cloud-metadata theo mặc định — và host được phân giải DNS để một tên phân giải vào một dải bị block cũng bị từ chối. Vậy nên một BYO server trỏ tới 169.254.169.254 hoặc một địa chỉ intranet bị từ chối trừ khi bạn đã whitelist nó một cách tường minh. Thứ hai, với các đích theo từng tool, một quy tắc egress mang theo một danh sách allow/deny host/CIDR được đối chiếu với đích đi ra ngoài của cuộc gọi trên bề mặt egress. Template use-case baseline xuất xưởng một quy tắc deny egress dựng sẵn mà danh sách của nó đã bao gồm các dải riêng, loopback, link-local, và cloud-metadata (bao gồm 169.254.169.254metadata.google.internal), nên áp dụng nó cho bạn phòng thủ SSRF/metadata mà không phải tự tay soạn CIDR.
SSRF và egress là sự khác biệt giữa “tool này trả về dữ liệu” và “tool này đã exfiltrate secret của bạn tới host của kẻ tấn công.” Áp dụng danh sách deny egress baseline và thêm các quy tắc host/CIDR của riêng bạn — xem Giới hạn egressExfiltration dữ liệu.

7. Theo dõi nó: sự kiện, lần chạy, và bất thường

Mọi cuộc gọi được quản lý đều để lại một dấu vết. Sự kiện firewall ghi lại verdict, bề mặt, và quy tắc đã khớp; các lần chạy nhóm các cuộc gọi của một session; và feed bất thường gắn cờ các đột biến tốc độ và chi phí đối với một baseline đã học. Việc đọc cài đặt, chính sách, và các tool đã khám phá mở cho mọi Member; việc đọc event/run/aggregate yêu cầu Developer+.

8. Đi đâu tiếp theo

Kết nối một MCP server

Đăng ký, probe, và phơi bày một server qua gateway.

Allow-list các tool MCP

Default-deny một server và chỉ cho phép các tool bạn đã xem xét.

Phòng thủ rug-pull

Quản lý các server và skill thay đổi sau khi bạn đã phê duyệt chúng.

Firewall: MCP servers

Tham chiếu trường-và-route đầy đủ.
Mới với mô hình này? Đọc Guardrails vs. firewall để thấy quản lý MCP nằm ở đâu, rồi Đầu độc tool MCPQuyền hạn quá mức cho các mối đe dọa mà nó đóng lại.