spec v0.1
ES

Skills

Skills de ejemplo

Seis skills de agente para crear, controlar y auditar un servidor MCP, construidos siguiendo las mismas reglas MCP-first que aplican.

Un skill es un workflow empaquetado, el tercer componente de un sistema MCP-first (Prompts / Workflows). Guía a un agente a través de un proceso de múltiples pasos sin que tenga que hacer clic a través de interfaces.

Los siguientes skills de ejemplo operan sobre el propio servidor MCP: crearlo, controlarlo y auditarlo. Lo fundamental es: estos skills se rigen por las mismas reglas que aplican. Cada paso de riesgo lleva un nivel de riesgo, los pasos de escritura y críticos están detrás de una aprobación (Confirmation Gate), y cada acción genera un Audit Event.

Crear

mcp.scaffold_server
High

Inicializa un servidor MCP capability-first: primero las Domain-Actions, esquemas tipados, Policy Engine, metadatos de riesgo y Audit, antes de que exista ninguna interfaz.

trigger "Crea un servidor MCP para …" Crear

Ablauf

  1. Modelar las Domain-Actions, la lógica de negocio permanece en el dominio, no en el servidor. Low
  2. Generar esquemas de entrada, salida y error tipados para cada acción. Low
  3. Asignar a cada herramienta un nivel de riesgo y una Confirmation Policy. Medium
  4. Conectar la Policy Engine (can(user, action, resource, context)) y los Audit Events. Medium
  5. Generar el servidor como adaptador: Discovery, exposición de esquemas, verificaciones de Policy, Audit Logging. High
  6. Registrar herramientas de escritura y críticas solo tras aprobación explícita. Critical ⏸ Freigabe

Hält sich an

  • Capabilities en lugar de pantallas, primero las capacidades, sin supuestos de UI.
  • Entradas y salidas tipadas, sin JSON suelto.
  • Policies en lugar de confianza, cada capacidad recibe derechos y riesgo.
  • Audit en lugar de opacidad, cada acción genera un Audit Event.
capability.add
High

Añade una nueva capacidad siguiendo el estándar Tool Contract. Sin un contrato completo no se registra nada.

trigger "Añade una herramienta/recurso para …" Crear

Ablauf

  1. Clarificar el intent del usuario y la categoría; revisar capacidades existentes como plantilla. Low
  2. Definir el esquema de entrada/salida/error y los scopes necesarios. Low
  3. Establecer el nivel de riesgo, los efectos secundarios y el Audit Event. Medium
  4. Determinar la Confirmation Policy (autónomo, confirmación, step-up, cuatro ojos, no para IA). Medium
  5. Prever un modo Dry Run para herramientas de riesgo. Medium
  6. Registrar la capacidad y habilitarla en el Discovery. High ⏸ Freigabe

Hält sich an

  • Herramientas en lugar de botones, un contrato uniforme por capacidad.
  • Confirmación en lugar de automatismo ciego, Policy antes del registro.
  • Dry Run para acciones de riesgo.

Controlar

mcp.control_visibility
High

Controla la visibilidad de herramientas por usuario, cliente, tenant, rol y scope, ya en el Discovery, no solo en la invocación.

trigger "¿Qué herramientas puede ver el agente X?" Controlar

Ablauf

  1. Resolver la identidad y el contexto: usuario, cliente MCP, identidad del agente, tenant. Low
  2. Calcular los permisos efectivos (usuario + agente + confianza del cliente + sensibilidad del recurso). Low
  3. Filtrar la lista de herramientas a las capacidades permitidas; no entregar las bloqueadas en absoluto. Medium
  4. Ajustar las Confirmation Policies por rol. High ⏸ Freigabe

Hält sich an

  • Visibilidad de herramientas según permisos, filtrado en el Discovery.
  • Contexto en lugar de datos brutos, solo lo que el agente necesita.
  • Policies en lugar de confianza.
mcp.connect_client
Critical

Vincula un cliente MCP de forma controlada: OAuth 2.1 Authorization Code con PKCE, lista blanca, tokens cortos, rotación de refresh.

trigger "Conecta el cliente … con el servidor MCP" Controlar

Ablauf

  1. Verificar el cliente contra la lista blanca; validar las Redirect URIs. Medium
  2. Configurar OAuth 2.1 + PKCE, establecer tiempos de vida cortos para el Access Token. High
  3. Asignar scopes mínimos (least privilege), activar la rotación de refresh. High
  4. Activar el cliente, con Step-up Auth del administrador. Critical ⏸ Freigabe

Hält sich an

  • Interfaz humana / clientes como cliente, el núcleo sigue siendo el Capability Layer.
  • Step-up Authentication para acciones críticas.
  • Audit en lugar de opacidad, la activación del cliente queda auditada.

Auditar

mcp.audit_trail
Low

Revisión de solo lectura: lee el Audit Trail y la cobertura de riesgos, recorre la checklist MCP-first e informa de las brechas. No modifica nada.

trigger "Verifica el servidor MCP contra MCP-first" Auditar

Ablauf

  1. Leer el inventario de capacidades y sus niveles de riesgo. Low
  2. Verificar los Audit Events en cuanto a completitud y redacción de entradas sensibles. Low
  3. Marcar herramientas sin clasificación de riesgo o sin Confirmation Policy. Low
  4. Comparar las capacidades Forbidden-for-AI con la visibilidad real. Low
  5. Emitir el hallazgo como informe estructurado, sin acción de escritura. Low

Hält sich an

  • Audit en lugar de opacidad, cada acción trazable.
  • 100 % controlable, no 100 % autónomo, el propio audit no cambia nada.
  • Contexto en lugar de datos brutos, informe en lugar de volcado de base de datos.
mcp.harden_security
Critical

Verifica y aumenta la protección: clases de protección, cobertura de Step-up, Redaction, Rate Limits y protección contra Prompt Injection. Los cambios requieren aprobación.

trigger "Refuerza la seguridad del servidor MCP" Auditar

Ablauf

  1. Verificar las áreas sensibles y las clases de protección por recurso/herramienta. Low
  2. Verificar Step-up Auth para herramientas críticas; proponer las que faltan. Medium
  3. Revisar las reglas de Redaction y el filtrado de contexto para acceso de IA. Medium
  4. Evaluar Rate Limits y protección contra Prompt Injection. High
  5. Aplicar cambios de Policy, con aprobación de administrador (cuatro ojos). Critical ⏸ Freigabe

Hält sich an

  • Policies en lugar de confianza, la IA se controla, no se confía en ella.
  • Confirmación sobre automatismo ciego, los cambios de Policy requieren aprobación.
  • Contexto en lugar de datos brutos, Redaction para datos sensibles.

Build capabilities once. Expose them everywhere, auch an die Skills, die den Server selbst betreiben.

Skills son Workflows