安全層級
1. 以空間為基礎的 MCP 伺服器管理
MCP 伺服器與空間綁定,因此只有已登入且具有該空間存取權的 Craft 使用者,才能管理該空間的 MCP 設定。在個人方案下,只有您能管理您的 MCP 伺服器。2. 秘密 MCP 連結
每個 MCP 連結都包含一個經密碼學保護的隨機、不可猜測字串,無需任何設定即可自動生效。即使未啟用密碼保護(即「公開」存取),您的 MCP 連線也只有在您明確分享 URL 的人,或能存取該空間的人,才能使用。3. 可選的密碼保護(OAuth 2.0)
如果您擔心 URL 可能意外外洩,可以新增密碼保護。在 Imagine 頁面上設定密碼後,首次連接 MCP 用戶端(例如 ChatGPT、Claude)時須輸入該密碼。某些 MCP 用戶端會要求提供 “OAuth Client ID” 與 “OAuth Client Secret”。對於 Craft MCP,這些欄位可以留空。我們的密碼保護採用 OAuth 2.0 與 動態用戶端註冊,因此除 URL 與密碼外,不需要任何預先設定的憑證。
4. 讀寫權限
您可以將代理限制為僅讀或僅寫,以限制其可執行的操作。5. 存取範圍限制
您可以限制代理的存取範圍至:- 一組預先定義的文件
- 空間內的每日筆記與任務
- 特定資料夾(v3.3.5+)
- 符合搜尋條件的文件(v3.3.5+)
嵌入內容的保護
這些安全層級也會保護文件中的嵌入內容,包括連向檔案與圖片的連結。由於 MCP 用戶端支援有限,檔案與圖片本身沒有獨立的驗證機制,但在驗證通過並連接到您的 MCP 伺服器後,才能擷取到這些不可猜測的連結。 每當您更改 MCP 伺服器的密碼時,檔案與圖片的連結都會輪換,以確保任何先前分享的連結失效。最佳實務
- 對存取敏感內容的 MCP 連線使用密碼保護
- 定期檢視並輪換 MCP 密碼
- 將連線的存取範圍限制在所需的文件
- 在不需寫入時使用唯讀權限
- 在空間設定中監控 MCP 連線的使用情況