spec v0.1
PT

Termos

Glossário

Os termos centrais do padrão de arquitetura MCP-first, definidos com precisão para desenvolvedores, arquitetos e responsáveis de produto.

Este glossário explica os conceitos fundamentais da abordagem MCP-first conforme são utilizados em arquitetura, modelo de segurança e design de capabilities.

Conceitos fundamentais

  • MCP, O Model Context Protocol; um protocolo aberto que permite a agentes de IA invocar de forma estruturada e com verificação de permissões as capacidades tipadas de um sistema (Tools, Resources, Workflows).

  • MCP-first, Princípio de arquitetura pelo qual o software é descrito primeiro como um sistema de capabilities totalmente controlável e legível por máquina; webapp, app móvel e admin UI surgem depois como clientes secundários desse Capability Layer.

  • Capability, Uma capacidade de negócio do sistema, descrita de forma estruturada, tipada, com verificação de permissões e auditável; o núcleo real do produto, independente de uma interface concreta.

  • Action / Action Layer, Uma capacidade executável individual (ex.: create_project, send_external_email) como primeira camada abaixo de todas as interfaces; webapp, agente, CLI e worker invocam a mesma Action.

  • Adapter, Uma camada (ex.: MCP Server, backend de webapp, API de app móvel) que recebe requisições, mapeia o contexto de autenticação, verifica Policies e encaminha chamadas ao Action Layer, sem conter Business Logic.

Componentes

  • Tool, Uma ação invocável no sistema MCP com schema de entrada tipado, schema de saída, nível de risco e Confirmation Policy; corresponde a uma Capability da perspectiva do agente (exemplo: contacts.create).

  • Resource, Um ponto de dados ou contexto legível que um agente pode acessar (exemplo: projects.list, contacts.get); fornece contexto preparado em vez de consultas brutas ao banco de dados.

  • Workflow / Prompt, Um fluxo pré-definido de múltiplas etapas que guia um agente por um processo complexo; no contexto MCP, frequentemente modelado como Prompt-Template que coordena Resources e Tools.

  • Policy, Regra legível por máquina que define quem pode invocar qual Tool sob quais condições, qual confirmação é necessária e se a execução autônoma é permitida.

  • Audit Event, Uma entrada de log estruturada e imutável para cada ação MCP executada; contém identidades, nível de risco, Confirmation ID e timestamp para garantir rastreabilidade completa.

  • Risk Metadata, Identificação legível por máquina de uma Tool ou Resource com nível de risco (low / medium / high / critical / restricted) e outros metadados como reversibilidade e efeitos colaterais externos.

  • Human Confirmation Gate, Mecanismo pelo qual um agente deve obter explicitamente o consentimento do usuário antes de executar uma Tool arriscada; bloqueia a execução autônoma até a confirmação.

Identidade & Acesso

  • Human User, Um usuário real e autenticado do sistema (ex.: Admin, colaborador, gerente de projeto); ponto de partida para verificações de permissão e cadeias de delegação.

  • MCP Client, A aplicação conectada ao MCP Server que faz requisições em nome de um usuário ou agente (ex.: Claude Desktop, um app de IA interno ou um processo worker).

  • Agent Identity, A identidade concreta de um agente ou workflow automatizado (ex.: sales-assistant, payroll-agent); gerenciada separadamente da identidade do usuário e com seus próprios scopes e restrições.

  • Delegated User Context, O mecanismo pelo qual um agente não age com direitos globais do sistema, mas exclusivamente dentro dos direitos e do contexto de um usuário específico ou de uma função de serviço configurada.

  • Service Identity, Identidade para processos backend-to-backend sem responsável humano (ex.: Import Worker, Scheduled Job, Sync Worker); autentica-se via mTLS ou Service Tokens assinados.

  • Scope, Unidade granular de permissão que descreve exatamente qual ação é permitida em qual Resource (exemplo: contacts:read, emails:send, billing:write); Tools e Resources verificam Scopes antes da execução.

  • Tenant, Tenant em um sistema multi-tenant; todo acesso a dados é vinculado ao tenant (tenant:abc), de modo que agentes nunca podem agir entre tenants, mesmo que seus outros scopes tecnicamente o permitissem.

  • Role, Conjunto de scopes atribuído a um usuário ou Agent Identity (exemplo: admin, manager, viewer); forma o primeiro nível de autorização antes das verificações de scope específicas por tenant e tool.

Segurança & Controle

  • Risk Level, Classificação de uma Tool em low, medium, high, critical ou restricted; determina se a execução autônoma é permitida, se a confirmação é necessária e se a Step-up Authentication é exigida.

  • Classe de proteção, Categorização de cada Resource e Tool por sensibilidade dos dados: Public (livremente legível), Internal (apenas usuários autenticados), Confidential (função explícita necessária), Sensitive (transmissão de contexto restrita), Critical (sem ação autônoma da IA), Forbidden for AI (não pode ser lida nem invocada por agentes de IA).

  • Confirmation Policy, Regra por Tool que define qual tipo de consentimento é necessário antes da execução: no_confirmation_required, confirmation_required, step_up_auth_required, admin_approval_required, four_eyes_required ou not_allowed_for_ai.

  • Step-up Authentication, Requisito de autenticação adicional para ações particularmente sensíveis (ex.: solicitação de senha, TOTP, Passkey), que vai além da sessão ativa; acionado em Tools critical ou ações Admin privilegiadas.

  • Consent Ledger, Registro persistente de todas as aprovações de usuário concedidas para ações de agente; armazena quem, quando, para qual Tool, em que escopo e com qual método deu consentimento, base para auditoria e responsabilidade.

  • Human-in-the-loop, Princípio pelo qual um agente deve obter ativamente a decisão do usuário antes de agir em ações sensíveis ou arriscadas; MCP-first significa totalmente controlável, não totalmente automatizado.

  • Redaction / Context Filtering, Limpeza ou sumarização direcionada de dados antes de chegarem ao contexto da IA; impede que agentes vejam desnecessariamente campos sensíveis (ex.: bankAccount, privateNotes), mesmo que o usuário tenha acesso em princípio.

  • Dry Run, Modo de execução de uma Tool em que todas as entradas são validadas e os efeitos colaterais são previstos, sem que a ação seja de fato executada (exemplo: emails.bulk_send(dryRun: true)); permite verificação prévia antes de operações arriscadas.

  • Idempotência, Propriedade de uma Tool de não gerar duplicatas desnecessárias em chamadas repetidas com os mesmos parâmetros; importante para lógica de retry e workflows agênticos onde uma ação pode ser disparada acidentalmente várias vezes.

  • Tool Discovery / Visibilidade de Tool, O processo pelo qual um MCP Client consulta as Tools disponíveis de um servidor; em um sistema MCP-first, as Tools são filtradas já na Discovery com base no usuário, cliente, tenant, função e scopes, não rejeitadas apenas na invocação.