spec v0.1
ES

Términos

Glosario

Los términos centrales del patrón de arquitectura MCP-first, definidos con precisión para desarrolladores, arquitectos y responsables de producto.

Este glosario explica los términos clave del enfoque MCP-first tal como se utilizan en la arquitectura, el modelo de seguridad y el diseño de capacidades.

Conceptos fundamentales

  • MCP, El Model Context Protocol; un protocolo abierto que permite a los agentes de IA invocar de forma estructurada y con verificación de permisos las capacidades tipadas de un sistema (herramientas, recursos, workflows).

  • MCP-first, Principio arquitectónico en el que el software se describe primero como un sistema de capacidades completamente controlable y legible por máquina; la aplicación web, la app móvil y la UI de administración surgen después como clientes secundarios de este Capability Layer.

  • Capability, Una capacidad funcional del sistema que está descrita de forma estructurada, tipada, con verificación de permisos y auditable; el núcleo real del producto, independiente de cualquier interfaz concreta.

  • Action / Action Layer, Una capacidad ejecutable individual (p. ej. create_project, send_external_email) como primera capa por debajo de todas las interfaces; la aplicación web, el agente, la CLI y el worker invocan la misma acción.

  • Adapter, Una capa (p. ej. servidor MCP, backend de aplicación web, API de app móvil) que recibe solicitudes, mapea el contexto de autenticación, verifica policies y reenvía las llamadas al Action Layer, pero no contiene lógica de negocio.

Componentes

  • Tool, Una acción invocable en el sistema MCP con esquema de entrada tipado, esquema de salida, nivel de riesgo y Confirmation Policy; corresponde a una capacidad desde la perspectiva del agente (ejemplo: contacts.create).

  • Resource, Un punto de datos legible o contexto que un agente puede recuperar (ejemplo: projects.list, contacts.get); proporciona contexto procesado en lugar de consultas directas a la base de datos.

  • Workflow / Prompt, Un flujo predefinido de múltiples pasos que guía a un agente a través de un proceso complejo; en el contexto MCP se modela frecuentemente como una plantilla de prompt que coordina recursos y herramientas.

  • Policy, Regla legible por máquina que establece quién puede invocar qué herramienta bajo qué condiciones, qué confirmación es necesaria y si se permite la ejecución autónoma.

  • Audit Event, Una entrada de log estructurada e inmutable para cada acción MCP ejecutada; contiene identidades, nivel de riesgo, ID de confirmación y timestamp para garantizar la trazabilidad completa.

  • Risk Metadata, Marcado legible por máquina de una herramienta o recurso con nivel de riesgo (low / medium / high / critical / restricted) y metadatos adicionales como reversibilidad y efectos secundarios externos.

  • Human Confirmation Gate, Mecanismo por el cual un agente debe obtener explícitamente el consentimiento del usuario antes de ejecutar una herramienta de riesgo; bloquea la ejecución autónoma hasta la confirmación.

Identidad y acceso

  • Human User, Un usuario real y autenticado del sistema (p. ej. administrador, empleado, gestor de proyectos); punto de partida para las verificaciones de permisos y las cadenas de delegación.

  • MCP Client, La aplicación conectada al servidor MCP que realiza solicitudes en nombre de un usuario o agente (p. ej. Claude Desktop, una app de IA interna o un proceso worker).

  • Agent Identity, La identidad concreta de un agente o workflow automatizado (p. ej. sales-assistant, payroll-agent); se gestiona de forma separada a la identidad del usuario y tiene sus propios scopes y restricciones.

  • Delegated User Context, El mecanismo por el cual un agente no actúa con permisos globales del sistema, sino exclusivamente dentro del marco de los derechos y el contexto de un usuario determinado o un rol de servicio configurado.

  • Service Identity, Identidad para procesos backend a backend sin mandante humano (p. ej. Import Worker, Scheduled Job, Sync Worker); se autentica mediante mTLS o Service Tokens firmados.

  • Scope, Unidad de permiso granular que describe exactamente qué acción está permitida sobre qué recurso (ejemplo: contacts:read, emails:send, billing:write); las herramientas y recursos verifican los scopes antes de la ejecución.

  • Tenant, Inquilino en un sistema multi-tenant; todo acceso a datos está vinculado al tenant (tenant:abc), de modo que los agentes nunca pueden actuar entre tenants aunque sus scopes restantes lo permitieran técnicamente.

  • Role, Conjunto de scopes asignado a un usuario o una Agent Identity (ejemplo: admin, manager, viewer); forma el primer nivel de autorización antes de las verificaciones de scope específicas por tenant y herramienta.

Seguridad y control

  • Risk Level, Clasificación de una herramienta en low, medium, high, critical o restricted; determina si se permite la ejecución autónoma, si se requiere confirmación y si se exige Step-up Authentication.

  • Clase de protección, Categorización de cada recurso y herramienta según la sensibilidad de los datos: Public (lectura libre), Internal (solo usuarios autenticados), Confidential (rol explícito requerido), Sensitive (transferencia de contexto restringida), Critical (sin acción autónoma de la IA), Forbidden for AI (no puede ser leído ni invocado por agentes de IA).

  • Confirmation Policy, Regla por herramienta que establece qué tipo de consentimiento es necesario antes de la ejecución: no_confirmation_required, confirmation_required, step_up_auth_required, admin_approval_required, four_eyes_required o not_allowed_for_ai.

  • Step-up Authentication, Requisito de autenticación adicional para acciones especialmente sensibles (p. ej. solicitud de contraseña, TOTP, Passkey) que va más allá de la sesión activa; se activa con herramientas critical o acciones de administrador privilegiadas.

  • Consent Ledger, Registro persistente de todas las aprobaciones de usuario otorgadas para acciones de agente; almacena quién, cuándo, para qué herramienta, con qué alcance y con qué método dio su consentimiento, base para la auditoría y la responsabilidad.

  • Human-in-the-loop, Principio según el cual un agente debe obtener activamente la decisión del usuario antes de actuar en acciones sensibles o de riesgo; MCP-first significa completamente controlable, no completamente automático.

  • Redaction / Context Filtering, Limpieza o resumen selectivo de datos antes de que lleguen al contexto de la IA; evita que los agentes vean campos sensibles innecesariamente (p. ej. bankAccount, privateNotes), aunque el usuario tuviera acceso básicamente.

  • Dry Run, Modo de ejecución de una herramienta en el que todas las entradas se validan y los efectos secundarios se pronostican sin que la acción se ejecute realmente (ejemplo: emails.bulk_send(dryRun: true)); permite la verificación previa antes de operaciones de riesgo.

  • Idempotencia, Propiedad de una herramienta que, al invocarse repetidamente con los mismos parámetros, no genera duplicados innecesarios; importante para la lógica de reintento y los workflows agentivos en los que una acción puede activarse accidentalmente varias veces.

  • Tool Discovery / Visibilidad de herramientas, El proceso por el cual un cliente MCP consulta las herramientas disponibles de un servidor; en un sistema MCP-first las herramientas se filtran ya en el Discovery según usuario, cliente, tenant, rol y scopes, no se rechazan solo en la invocación.