Ein MCP-first System beschreibt seine Fähigkeiten vollständig. Das gilt nicht nur für die Architektur oder das Risikomodell, es gilt für jede fachliche Entität, die das System kennt. Dieser Katalog zeigt, welche Resources und Tools ein modernes System pro Domäne bereitstellen sollte.
Das Basisprinzip: Jede Entität braucht mindestens list, search, get, create,
update, archive, audit, permissions, verknüpfte Ressourcen und empfohlene
Folgeaktionen. delete ist selten, es wird durch archive ersetzt oder ist als
kritische Aktion mit Step-up Auth geschützt.
System-Metadaten
Die Grundlage jeder Agentensitzung. Diese Resources und Tools braucht jeder Agent, bevor er irgendeine fachliche Aktion ausführt: Welche Capabilities gibt es? Was darf ich? Welche Policies gelten?
Resources
-
system.capabilities -
system.current_user -
system.current_tenant -
system.permissions -
system.audit_policy -
system.risk_policy -
system.available_workflows -
system.health
Tools
-
system.describe_capabilityLow -
system.request_confirmationLow -
system.check_permissionLow -
system.get_audit_logMedium -
system.explain_denialLow
User & Identity
Benutzerverwaltung, Rollen, Sessions und Agent-Identitäten. Die meisten schreibenden
Operationen hier sind mindestens high, Rollenänderungen und Secret-Rotation immer
critical.
Resources
-
users.list -
users.get -
users.current -
roles.list -
permissions.list -
sessions.list -
api_clients.list -
agent_identities.list
Tools
-
users.inviteHigh -
users.update_roleCritical -
users.disableHigh -
users.enableHigh -
users.deleteCritical -
sessions.revokeHigh -
api_clients.createHigh -
api_clients.rotate_secretCritical -
agent_identities.createHigh -
agent_identities.disableHigh -
permissions.grantCritical -
password.readForbidden for AI
Tenants
Mandantenverwaltung bei Multi-Tenant-Systemen. Jeder Zugriff auf Mandantendaten muss
tenantgebunden sein. Export und Archivierung von Mandanten sind critical.
Resources
-
tenants.list -
tenants.get -
tenants.settings -
tenants.members -
tenants.audit_log
Tools
-
tenants.update_settingsHigh -
tenants.invite_memberHigh -
tenants.remove_memberHigh -
tenants.create_exportCritical -
tenants.archiveCritical
Kontakte / CRM
Kontakte sind der häufigste Einstiegspunkt für Agenten im Vertrieb und Support. Kommunikationshistorien und private Notizen können personenbezogene Daten nach DSGVO enthalten, der KI-Zugriff sollte je nach Kontext und Agentenzweck eingeschränkt sein.
Resources
-
contacts.list -
contacts.search -
contacts.get -
contacts.timeline -
contacts.communication_history -
contacts.related_projects -
contacts.tags
Tools
-
contacts.createMedium -
contacts.updateMedium -
contacts.mergeHigh -
contacts.add_noteMedium -
contacts.add_tagLow -
contacts.remove_tagLow -
contacts.archiveHigh -
contacts.request_data_exportCritical
Firmen
Firmen- und Account-Stammdaten mit Kaufprofilen und Kommunikationshistorie. Eng verknüpft mit Kontakten und Projekten.
Resources
-
companies.list -
companies.search -
companies.get -
companies.contacts -
companies.projects -
companies.profile -
companies.purchase_profile -
companies.communication_history
Tools
-
companies.createMedium -
companies.updateMedium -
companies.assign_contactMedium -
companies.update_purchase_profileMedium -
companies.add_noteMedium -
companies.archiveHigh
Projekte
Projekte sind der zentrale Kontext-Hub: sie verknüpfen Kontakte, Dateien, Aktivitäten
und empfohlene Folgeaktionen. Agents nutzen Projektcontext intensiv, generate_summary
und recommend_next_action sind dafür besonders relevant.
Resources
-
projects.list -
projects.search -
projects.get -
projects.status -
projects.timeline -
projects.files -
projects.contacts -
projects.exposes -
projects.activities -
projects.recommended_next_actions
Tools
-
projects.createMedium -
projects.updateMedium -
projects.change_statusHigh -
projects.assign_contactMedium -
projects.add_noteMedium -
projects.attach_fileMedium -
projects.generate_summaryLow -
projects.recommend_next_actionLow -
projects.archiveHigh
Dateien
Dateien können hochgradig sensibel sein, Verträge, Personalunterlagen, Finanzdokumente. Download-Links brauchen Ablaufdaten, Tokens und Audit. Agents sollten Dateiinhalte nicht ungeprüft in den Kontext laden.
Resources
-
files.list -
files.get_metadata -
files.preview -
files.permissions -
files.related_entities
Tools
-
files.uploadMedium -
files.attach_to_projectMedium -
files.generate_download_linkHigh -
files.revoke_download_linkHigh -
files.renameMedium -
files.moveMedium -
files.archiveHigh
E-Mail & Kommunikation
E-Mail ist der risikoreichste Bereich für autonome Agenten: externe Kommunikation hat rechtliche Außenwirkung, kann personenbezogene Daten übermitteln und ist irreversibel. Die Policy ist klar: Agents dürfen Entwürfe erstellen, nicht senden.
Resources
-
emails.list -
emails.get -
emails.thread -
emails.templates -
emails.delivery_status -
emails.engagement_status -
communications.timeline
Tools
-
emails.create_draftMedium -
emails.previewLow -
emails.sendCritical -
emails.schedule_sendCritical -
emails.attach_fileMedium -
emails.generate_download_linkHigh -
emails.cancel_scheduled_sendHigh -
communications.add_noteMedium
Kalender
Termine erstellen ist moderat riskant. Externe Personen einladen oder Termine
absagen betrifft andere Parteien und ist high.
Resources
-
calendar.events.list -
calendar.events.get -
calendar.availability -
calendar.connected_accounts
Tools
-
calendar.create_eventMedium -
calendar.update_eventMedium -
calendar.cancel_eventHigh -
calendar.invite_contactHigh -
calendar.find_free_slotLow
Reminder & Aufgaben
Reminder und Aufgaben sind die sichersten autonomen Aktionen im System. Sie erzeugen keine externen Effekte und sind leicht umkehrbar. Agents können sie ohne Bestätigung erstellen und verwalten.
Resources
-
reminders.list -
reminders.get -
tasks.list -
tasks.get -
tasks.assigned_to_me
Tools
-
reminders.createLow -
reminders.updateLow -
reminders.completeLow -
reminders.cancelLow -
tasks.createLow -
tasks.assignMedium -
tasks.update_statusLow -
tasks.completeLow
Reports & Analytics
Reports und Exporte können sensible Personendaten enthalten. Die Einstufung hängt
nicht vom Tool selbst ab, sondern vom Inhalt: anonymisierte Aggregate sind medium,
Exporte mit personenbezogenen Daten sind critical.
Resources
-
reports.available -
reports.get -
analytics.kpis -
analytics.activity_summary -
analytics.risk_summary
Tools
-
reports.generateMedium -
reports.scheduleMedium -
reports.export_anonymizedMedium -
reports.export_personal_dataCritical -
analytics.explain_metricLow -
analytics.compare_periodsLow
Billing
Fast alle schreibenden Billing-Operationen sind critical. Die KI darf hier
höchstens lesen, erklären oder vorbereiten, niemals autonom handeln.
Zahlungsausführung ist eine der härtesten Grenzen im System.
Resources
-
billing.plan -
billing.invoices -
billing.payment_methods -
billing.usage
Tools
-
billing.download_invoiceLow -
billing.change_planCritical -
billing.update_payment_methodCritical -
billing.cancel_subscriptionCritical -
payment.executeCritical
Admin & Security
Security-Funktionen sind die sensibelste Schicht des Systems. Viele davon sind nicht
nur critical, sondern vollständig für AI gesperrt. Audit Logs, Session-Verwaltung
und API-Key-Rotation dürfen niemals autonom durch einen Agenten verändert werden.
Resources
-
security.settings -
security.audit_log -
security.active_sessions -
security.api_keys -
security.connected_clients -
security.risk_events
Tools
-
security.export_audit_logCritical -
security.revoke_sessionCritical -
security.disable_clientCritical -
security.rotate_api_keyCritical -
security.update_policyCritical -
secrets.rotateCritical -
raw_access_token.readForbidden for AI -
private_key.readForbidden for AI -
full_database_exportForbidden for AI