MCP 安全边界
MCP server 经常连接真实系统,因此安全设计必须先于功能扩展。
默认规则
- 默认只读,写操作必须明确命名。
- 每个 tool 都要标注副作用。
- 密钥只存在于 server 运行环境,不进入模型上下文。
- 输入必须校验,输出必须限制大小。
- 权限拒绝必须是正常业务路径,而不是未处理异常。
高风险能力
以下能力需要更严格的确认和 Harness:
- 执行 shell 命令。
- 写文件或删除文件。
- 调用外部网络。
- 访问客户数据。
- 触发付款、部署或通知。
Harness 覆盖
安全相关 Harness 至少覆盖:
| 场景 | 期望 |
|---|---|
| 无权限访问 | 返回权限错误,不执行动作 |
| 输入为空 | 返回参数错误 |
| 输入过大 | 截断或拒绝 |
| 下游超时 | 返回可恢复错误 |
| 密钥泄露尝试 | 输出中不包含敏感值 |
下一步
阅读 部署与安全,把 MCP 的本地边界扩展到发布和运维流程。