Produto · Governação de MCP
Governe o MCP — catalogue cada ferramenta, ligue quem usa o quê
Módulo V, Capacidades. O cliente MCP introspeciona o tools/list e o resources/list de cada servidor para um registo interno, pelo que obtém um catálogo versionado de servidores, skills e ferramentas — além de um grafo de ligação que mostra que agente usa que ferramenta. A configuração gerida referencia os seus segredos por referência; os valores em bruto dos segredos nunca entram no catálogo.
No produto
A consola de capacidades
Uma captura de ecrã genuína, com dados de exemplo. Separadores para servidores, skills, ferramentas, o grafo de ligação de capacidades e as configurações geridas. O estado da ligação é derivado de sinais reais; as entradas aprovadas trazem um hash de conteúdo e, sempre que existe uma chave de assinatura, uma assinatura Ed25519.
O que governa
Um registo para cada ferramenta a que os seus agentes conseguem aceder
O cliente MCP fala stdio e Streamable HTTP, introspeciona cada servidor e regista o que encontra — para que o catálogo reflita o que os servidores expõem realmente, e não o que uma folha de cálculo diz.
Catálogo a partir de introspeção
O cliente chama o tools/list e o resources/list por stdio ou Streamable HTTP (o SSE é legado) e escreve o resultado num registo interno. Obtém um catálogo versionado de servidores MCP, skills e ferramentas, com o estado da ligação derivado de sinais reais — não mantido à mão.
Um grafo de ligação de capacidades
Veja que agente está ligado a que ferramenta — o grafo do «quem usa o quê» no centro da consola. Trata-se de um mapa de utilização; é distinto do mapa de acessos de leitura/leitura-escrita, que é uma superfície separada e responde a uma pergunta diferente.
Segredos por referência, nunca em bruto
A configuração gerida de MCP referencia os seus segredos por referência (secret_refs). Os valores em bruto dos segredos nunca são armazenados nem lidos a partir do catálogo — a configuração aponta para o segredo, não o contém.
As anotações são declaradas, não são de confiança
Os servidores MCP podem declarar read_only_hint ou destructive_hint numa ferramenta. Apresentamos esses dados como um sinal declarado e não fidedigno proveniente do servidor — nunca como um selo de segurança autoritativo. Trate-os como uma pista para rever, não como facto de segurança.
O que é real
O catálogo, o grafo e a configuração gerida estão disponíveis; a conformidade total com o MCP-RC está em curso
Somos precisos quanto ao que o contrato garante hoje e ao que não garante:
- Disponível (contrato v1 estável): o cliente MCP por stdio e Streamable HTTP, a introspeção do tools/list e do resources/list para o registo interno, o catálogo de servidores / skills / ferramentas, o grafo de ligação de capacidades e a configuração gerida que referencia segredos por referência. O estado da ligação é derivado de sinais reais.
- Aprovação e integridade: as entradas aprovadas do catálogo trazem um hash de conteúdo e uma assinatura Ed25519 opcional. Quando não há nenhuma chave de assinatura configurada, uma entrada aparece como «aprovada mas não assinada» — afirmamo-lo claramente em vez de sugerir uma assinatura que não existe.
- Não é conformidade total com a especificação: a prontidão perante o MCP RC (especificação de 2026-07-28) está em curso e várias alterações da especificação ainda não estão implementadas — não reclamamos conformidade total ou atual com a especificação do MCP. O registo público de MCP está em pré-visualização e rejeita hoje os servidores privados; um sub-registo privado está no roteiro.
- Postura: leitura em primeiro lugar e detetiva por omissão. O catálogo e o grafo descrevem o que os seus servidores expõem e como as ferramentas estão configuradas; não reconfiguram nem atuam sobre nada silenciosamente.
Governação de MCP — perguntas
As anotações read_only_hint / destructive_hint dizem-me que uma ferramenta é segura?
Não. Essas anotações são declaradas pelo próprio servidor MCP, pelo que são um sinal não fidedigno — um servidor pode alegar o que quiser. Apresentamo-las no catálogo como uma pista declarada para o ajudar a decidir o que rever, nunca como um selo de segurança autoritativo. Não trate uma anotação «só de leitura» como prova de que uma ferramenta não pode escrever.
Em que difere o grafo de ligação do mapa de acessos?
O grafo de ligação de capacidades responde a «que agente usa que ferramenta» — é um mapa de utilização das ligações nesta consola. O mapa de acessos de leitura/leitura-escrita é uma superfície de produto separada que responde a «que nível de acesso tem uma identidade a um recurso». São deliberadamente distintos; não confundimos um com o outro.
Os meus segredos ficam armazenados no catálogo de MCP?
Não. A configuração gerida de MCP referencia os segredos por referência (secret_refs) — a configuração aponta para um segredo, não contém o valor em bruto. O catálogo nunca armazena nem lê material de segredo em bruto.
A Olivares é totalmente conforme com a especificação atual do MCP?
Ainda não, e não o vamos reclamar antes de estar disponível. O cliente MCP disponível é um contrato v1 estável por stdio e Streamable HTTP (o SSE é legado), mas a prontidão perante o MCP RC (especificação de 2026-07-28) continua em curso, com várias alterações por implementar. O registo público de MCP está em pré-visualização e rejeita servidores privados; um sub-registo privado está no roteiro.
Catalogue e governe o seu património de MCP
Implemente a Olivares na sua própria infraestrutura, introspecione os seus servidores MCP para um catálogo versionado, veja quem está ligado a que ferramenta e mantenha os segredos referenciados — nunca em bruto.