Saltar al contenido principal
Las herramientas MCP de Craft están protegidas por múltiples capas de seguridad para garantizar que tu contenido se mantenga seguro, sin dejar de ser accesible para las herramientas que autorices.

Capas de seguridad

1. Gestión de servidores MCP por Espacio

Los servidores MCP están vinculados a Espacios, por lo que solo los usuarios de Craft que hayan iniciado sesión y tengan acceso a un Espacio dado pueden administrar la configuración MCP de ese Espacio. En un plan individual, tú eres el único que puede gestionar tus servidores MCP.

2. Enlaces secretos MCP

Cada enlace MCP contiene una cadena aleatoria criptográficamente segura e imposible de adivinar. Esto funciona automáticamente sin configuración. Incluso sin protección con contraseña (es decir, acceso ‘público’), tus conexiones MCP solo pueden ser usadas por las personas con las que compartas explícitamente la URL o por quienes tengan acceso al Espacio correspondiente.

3. Protección opcional con contraseña (OAuth 2.0)

Si te preocupa filtrar la URL por accidente, puedes añadir protección con contraseña. Establece una contraseña en la Imagine page, y la tendrás que ingresar la primera vez que conectes tu cliente MCP (por ejemplo, ChatGPT, Claude).
Algunos clientes MCP solicitan un “OAuth Client ID” y un “OAuth Client Secret.” Puedes dejar estos campos vacíos para los MCP de Craft. Nuestra protección por contraseña utiliza OAuth 2.0 con dynamic client registration, por lo que no se necesitan credenciales preconfiguradas aparte de la URL y la contraseña.
Elegimos la autenticación basada en contraseña porque otros métodos OAuth (como los secretos de cliente precompartidos) resultaban menos convenientes desde la perspectiva de la experiencia de usuario, y aun así la autenticación por contraseña ofrece dos secretos (el enlace secreto y la contraseña).

4. Permisos de lectura/escritura

Puedes restringir a los agentes a operaciones de solo lectura o de solo escritura, limitando las acciones que pueden realizar.

5. Limitaciones de alcance

Puedes limitar el acceso de un agente a:
  • Un conjunto predefinido de Documentos
  • Notas Diarias y Tareas dentro de un Espacio
  • Carpetas específicas (v3.3.5+)
  • Documentos que coincidan con criterios de búsqueda (v3.3.5+)

Protección del contenido incrustado

Estas capas de seguridad también protegen el contenido dentro de tus Documentos, incluidos los enlaces a archivos e imágenes. Aunque los archivos e imágenes no tienen autenticación separada (debido al soporte limitado de los clientes MCP), sus enlaces imposibles de adivinar solo pueden recuperarse después de autenticarse en tu servidor MCP. Los enlaces de archivos e imágenes se rotan cada vez que cambias la contraseña del servidor MCP, lo que garantiza que cualquier enlace compartido previamente quede inválido.

Buenas prácticas

  • Usa protección por contraseña para las conexiones MCP que accedan a contenido sensible
  • Revisa y rota las contraseñas MCP con regularidad
  • Limita el alcance de las conexiones solo a los documentos necesarios
  • Usa permisos de solo lectura cuando no se requiera acceso de escritura
  • Monitorea el uso de las conexiones MCP en la Configuración del Espacio