1. Tại sao bảo mật một MCP agent
Trỏ một agent vào năm MCP server trực tiếp và bạn có năm ranh giới tin cậy, năm kho thông tin xác thực, và zero audit trail chung.tools/call đọc một
bản ghi khách hàng và cái chạy một lệnh shell trông giống hệt nhau với mô
hình, và một community server có thể âm thầm yêu cầu shell.exec và một
phạm vi mạng bên ngoài ở lần đầu tiên nó nạp.
Cách sửa là biến OrcaRouter thành điểm nghẽn duy nhất mà mọi cuộc gọi vượt
qua. Để bảo mật mcp agent traffic từ đầu đến cuối, bạn định tuyến mọi
dispatch MCP qua MCP gateway của Firewall, nên
mọi tools/call được đánh giá chính sách trước khi nó đến server thực —
với skill được chấm điểm rủi ro, egress được quản lý, và thông tin xác thực
được mã hóa lúc nghỉ.
Đây là một công thức — nó khâu các tính năng hiện có thành một lượt gia cố
cụ thể. Để có tham chiếu đầy đủ, theo các liên kết vào
Firewall, MCP servers,
và Skills.
2. Bắt đầu từ baseline Secure Agents
Trước khi soạn bất cứ thứ gì riêng biệt, hãy đặt một tư thế. Trong console mở Firewall → Posture và áp dụng cấp độ tự chủbalanced
autonomy level (vai trò
Developer). Trong một transaction nó audit các cuộc gọi tool và gắn cờ PII
trong khi deny các hành động phá hủy nhất — bạn quan sát trước khi thực thi
rộng rãi, với hoàn tác một cú nhấp.
Khi các feed Events và Runs trông
đúng, chuyển sang tight: default-deny, shell phá hủy bị deny, egress
dạng SSRF bị deny, cộng với các guardrail PII Shield và Secrets Blocker
được thực thi. Công tắc duy nhất đó là tầng sàn mà công thức này xây dựng
lên.
3. Định tuyến mọi tools/call qua một MCP gateway
Đăng ký mỗi MCP server một lần; gateway tổng hợp các tool của chúng dưới một kết nối duy nhất (đặt namespace<server>.<tool>) và chạy mọi
tools/call qua engine firewall.
Đăng ký một server từ console (hoặc REST API, Developer+):
github.create_issue và shell.exec hiện ra cạnh nhau dưới một kết
nối, và mỗi dispatch được đánh giá trước khi chạy. Một cuộc gọi bị block
quay lại với mô hình như một lỗi tool (firewall deny: …), không phải
một crash truyền tải, nên agent có thể thích nghi.
Trước khi bạn có thể viết quy tắc đối với các tool của một server, probe
nó để khám phá tên và schema của chúng:
4. Quarantine các skill mà agent kéo vào
MCP gateway quản lý cuộc gọi; quản trị skill quản lý các khả năng mà một agent nạp. Mọi skill có thể cài đặt, MCP server BYO, hoặc plugin đều được quét vào một dải rủi ro và một chế độ thực thi cưỡi lên trên mọi verdict quy tắc:| Chế độ | Hiệu lực lúc runtime |
|---|---|
allow | Verdict quy tắc quyết định; skill không thêm gì. |
quarantine | Bất cứ thứ gì thấp hơn deny đều bị giữ lại cho pending_approval. |
block | Các tool của skill bị force-deny. |
5. Deny egress dạng SSRF
Một MCP tool bị xâm phạm hoặc nhầm lẫn vươn tới cloud-metadata hoặc một host intranet là đường exfiltration kinh điển. Hai lớp bao phủ nó. Đầu tiên, gateway kiểm chứng mọi MCP endpoint từ xa và IP quay số đã phân giải của nó đối với một chính sách SSRF khi đăng ký và trên mỗi bước dispatch — các dải intranet và địa chỉ cloud-metadata bị từ chối, kiểm tra lại để đánh bại DNS rebinding. Cái đó được tích hợp sẵn; bạn không cấu hình nó. Thứ hai, cấp độ tự chủtight cung cấp một preset egress SSRF deny
các tên tool dạng fetch — http_fetch, web_search, fetch_url,
request, và các dạng được đặt namespace <server>.* của chúng — nên một
tool mà cả công việc của nó là “đi fetch URL này” bị dừng trước khi nó quay
số.
Để quản lý nơi các tool có thể vươn tới theo đích đến, soạn quy tắc
egress của riêng bạn với một danh sách deny host/CIDR — đó là bề mặt để
ghim tầm với đi ra ngoài:
Không preset nào cung cấp các quy tắc egress CIDR — preset SSRF khớp tên
tool, không phải đích đến. Tự soạn danh sách deny host/CIDR khi bạn cần
kiểm soát ở cấp đích đến. Xem
danh sách egress và
stop exfiltration.
6. Giữ thông tin xác thực server được mã hóa
auth_json của mỗi MCP server được mã hóa lúc nghỉ và bị che khi đọc;
gateway tiêm thông tin xác thực tại thời điểm dispatch, nên chúng không bao
giờ đến được mô hình hoặc client. Các giá trị auth_mode được hỗ trợ:
bearer
bearer
{ "token": "…" } — một bearer token tĩnh, gửi như
Authorization: Bearer.oauth
oauth
{ "client_id": "…", "client_secret": "…", "token_url": "…" } —
client-credentials OAuth; gateway fetch và làm mới token.basic
basic
{ "username": "…", "password": "…" } — HTTP Basic auth.none
none
"" — một server không xác thực. Mặc định.status của server (ok / degraded / down) từ
probe gần nhất cho
bạn biết liệu nó có thể tiếp cận trước khi bạn phụ thuộc vào nó.
7. Thêm một content guardrail trên request
Firewall quản lý hành động; ghép nó với một Guardrail để văn bản chảy qua MCP agent của bạn cũng được sàng lọc. Preset Secrets Blocker bắt thông tin xác thực trong một request trước khi mô hình — hoặc bất kỳ tool nào — từng thấy chúng, và một PII Shield mask các định danh trên đường vào. Cả hai bật cùng cấp độ tự chủtight,
hoặc gắn một guardrail có tên vào relay key của agent qua guardrail_id.
8. Kiểm chứng và theo dõi
Xác nhận chính sách làm những gì bạn mong đợi trước khi bạn tin nó, rồi để mắt tới các feed:Test một cuộc gọi tool
Dry-run một
tools/call mẫu đối với chính sách của bạn và xem verdict,
quy tắc đã khớp, và lý do — không có gì được dispatch, không có gì được
ghi log.Discovered tools
Mọi tool mà workspace đã thấy, gắn cờ covered hoặc gap — soạn quy tắc
thẳng từ traffic MCP thực.
Events & Runs
Mọi dispatch, verdict của nó, và bề mặt nó chạm tới, gộp theo mỗi lần
chạy agent.
Feed bất thường
Spike tốc độ/chi phí, vòng lặp retry, và các đường tool mới đối với một
baseline đã học.
9. Đi tiếp ở đâu
MCP tool poisoning
Mô hình đe dọa đằng sau quarantine và MCP gateway.
Excessive agency
Tại sao default-deny và HITL quan trọng cho việc dùng tool tự chủ.
Công thức autonomous agent
Gia cố một agent tự chủ cao từ đầu đến cuối.
Dừng exfiltration
Khóa chặt egress đi ra ngoài chuyên sâu.