MCP-Sicherheit
Bedrohungsmodell und Absicherung des lokalen MCP-Servers.
MCP-Sicherheit
Behandeln Sie den MCP-Server wie jeden anderen lokalen Automatisierungs-Endpunkt: Er läuft unter Ihrer Nutzeridentität, mit Zugriff auf Ihr Checkout und auf die Werkzeuge, die AgentFlow eingebunden hat.
Bedrohungsmodell
Der Prozess läuft als Ihr Benutzerkonto mit vollem Zugriff auf das Repository. Jeder Client derselben stdio-Verbindung kann registrierte Tools aufrufen, bis MCP abgeschaltet wird oder die Verbindung endet — das Protokoll sieht kein zweites, separates Passwort vor.
Standard (restriktiv)
Standardmäßig bleibt MCP aus; Antwortgrößen und Laufzeiten sind begrenzt; Investigation-Werkzeuge lesen übliche Secret-Pfade über secret_path_denylist nicht ohne Weiteres mit. Das reduziert versehentliche Datenabflüsse — es ist keine Sandbox-Garantie.
mcp.enabled: false- Begrenzungen für Ausgabe und Timeout
secret_path_denylistschützt vor trivialen Secret-Lesezugriffen in Investigation-Tools
Empfehlungen
MCP nur auf Rechnern nutzen, die Sie kontrollieren, und nur mit Editor-Erweiterungen, denen Sie ohnehin vertrauen. stdio nicht unkontrolliert über gemeinsame Terminal-Sitzungen oder unsichere Remote-Shells weiterreichen. secret_path_denylist erweitern, wenn Ihr Repo Schlüssel außerhalb der Standardbeispiele enthält. policies.allow_network: false hält Agent-Läufe ohne ausdrückliche Netzwerkfreigabe zurück — MCP selbst bleibt lokal; kombinierte Policies verkleinern die möglichen Folgen, wenn nach einem Tool-Aufruf wieder Agent-Code läuft.
- MCP nur auf vertrauenswürdigen Hosts aktivieren
- stdio nicht in gemeinsamen oder unsicheren Sessions exponieren
secret_path_denylistan das eigene Repository anpassen- Bei Offline-Anforderungen mit
policies.allow_network: falsekombinieren