Przejdź do głównej treści
Narzędzia Craft MCP są chronione przez wielowarstwowe zabezpieczenia, aby Twoja zawartość pozostała bezpieczna, a jednocześnie dostępna dla narzędzi, którym udzielisz uprawnień.

Warstwy zabezpieczeń

1. Zarządzanie serwerami MCP powiązane z Przestrzenią

Serwery MCP są powiązane z Przestrzenią, więc tylko zalogowani użytkownicy Craft mający dostęp do danej Przestrzeni mogą zarządzać jej ustawieniami MCP. Na planie indywidualnym jedynie Ty możesz zarządzać swoimi serwerami MCP.

2. Tajne linki MCP

Każdy link MCP zawiera kryptograficznie bezpieczny, losowy i niezgadnialny ciąg znaków. Działa to automatycznie, bez żadnej konfiguracji. Nawet bez ochrony hasłem (tzn. dostęp ‘publiczny’) połączenia MCP mogą być używane tylko przez osoby, którym wyraźnie udostępnisz URL lub przez osoby mające dostęp do danej Przestrzeni.

3. Opcjonalna ochrona hasłem (OAuth 2.0)

Jeśli obawiasz się, że możesz przypadkowo ujawnić URL, możesz dodać ochronę hasłem. Ustaw hasło na stronie Imagine – przy pierwszym połączeniu klienta MCP (np. ChatGPT, Claude) będziesz musiał je podać.
Niektóre klienty MCP proszą o „OAuth Client ID” i „OAuth Client Secret”. Pola te możesz pozostawić puste dla Craft MCP. Nasza ochrona hasłem wykorzystuje OAuth 2.0 z dynamic client registration, więc nie są potrzebne żadne wstępnie skonfigurowane poświadczenia poza URL i hasłem.
Wybraliśmy uwierzytelnianie oparte na haśle, ponieważ inne metody OAuth (np. wstępnie współdzielone sekrety klienta) były mniej wygodne z perspektywy UX, podczas gdy uwierzytelnianie hasłem nadal oferuje dwie tajemnice (sekretny link i hasło).

4. Uprawnienia odczytu/zapisu

Możesz ograniczyć agentom operacje do tylko odczytu lub tylko zapisu, kontrolując w ten sposób działania, które mogą wykonywać.

5. Ograniczenia zakresu

Możesz ograniczyć dostęp agenta do:
  • Zestawu predefiniowanych Dokumentów
  • Dzienne Notatki i Zadania w ramach Przestrzeni
  • Konkretne Foldery (v3.3.5+)
  • Dokumenty pasujące do kryteriów wyszukiwania (v3.3.5+)

Ochrona osadzonej zawartości

Te warstwy zabezpieczeń chronią również zawartość osadzoną w Twoich Dokumentach, w tym linki do plików i obrazów. Chociaż pliki i obrazy nie mają oddzielnego uwierzytelniania (z powodu ograniczonego wsparcia klientów MCP), ich niezgadnialne linki można pobrać dopiero po uwierzytelnieniu na serwerze MCP. Linki do plików i obrazów są rotowane za każdym razem, gdy zmienisz hasło serwera MCP, co powoduje, że wcześniej udostępnione linki stają się nieważne.

Najlepsze praktyki

  • Używaj ochrony hasłem dla połączeń MCP, które mają dostęp do wrażliwej zawartości
  • Regularnie przeglądaj i zmieniaj hasła MCP
  • Ogranicz zakres połączenia tylko do niezbędnych Dokumentów
  • Używaj uprawnień tylko do odczytu, gdy dostęp do zapisu nie jest wymagany
  • Monitoruj użycie połączeń MCP w Ustawieniach Przestrzeni