Seguridad MCP
Modelo de amenaza y endurecimiento del servidor MCP local.
Seguridad MCP
Trate MCP como cualquier punto de entrada de automatización local: hereda la identidad de usuario, la copia de trabajo compartida y las herramientas que compiló AgentFlow.
Modelo de amenaza
El proceso ejecuta como su usuario con acceso íntegro al repo. Cualquier cliente unido al mismo pipe stdio puede invocar las herramientas registradas mientras MCP esté habilitado o la conexión siga abierta — el protocolo no incorpora segunda contraseña.
Predeterminados (seguros)
En la entrega MCP arranca desactivado, tiempo y tamaño están acotados, y la herramienta de investigación evita algunas rutas obvias vía secret_path_denylist. Estas medidas amortiguan fugas accidentales pero no bastan como sandbox firme.
mcp.enabled: false- Límites de salida y tiempo
secret_path_denylistbloquea lecturas triviales de secretos en herramientas de investigación
Recomendaciones
Active MCP sólo en máquinas físicamente bajo su control donde las extensiones de editor ya fueron evaluadas. Evite multiplexar stdio mediante tmux/sesiones remotas compartidas salvo conocer bien quién más puede pegarse. Amplíe secret_path_denylist donde el repo albergue más claves fuera del set de ejemplo. policies.allow_network: false evita llamadas externas desde agentes — MCP sigue local, pero combinado reduce el alcance después de ejecutar herramientas sensibles.
- Habilitar MCP solo en equipos que considere fiables
- No exponer stdio a terminales o sesiones remotas compartidas sin autenticación clara
- Mantenga
secret_path_denylistalineado con.env, llaves u credenciales reales del repo - Emparelle
policies.allow_network: falsecuando los agentes deban estar fuera de red — MCP en sí mismo es local