spec v0.1
RU

Термины

Глоссарий

Ключевые термины архитектурного паттерна MCP-first — точно определены для разработчиков, архитекторов и продуктовых менеджеров.

Этот глоссарий объясняет основные понятия подхода MCP-first так, как они используются в архитектуре, модели безопасности и дизайне возможностей.

Основные понятия

  • MCP — Model Context Protocol; открытый протокол, позволяющий ИИ-агентам структурированно и с проверкой разрешений вызывать типизированные возможности системы (Tools, Resources, Workflows).

  • MCP-first — Архитектурный принцип, при котором программное обеспечение сначала описывается как полностью управляемая, машиночитаемая система возможностей; веб- приложение, мобильное приложение и Admin UI создаются после — как вторичные клиенты этого Capability Layer.

  • Capability (возможность) — Предметная способность системы, структурно описанная, типизированная, проверенная по разрешениям и доступная для аудита; подлинное ядро продукта, независимое от конкретного интерфейса.

  • Action / Action Layer — Отдельная выполняемая возможность (например, create_project, send_external_email) как первый слой под всеми интерфейсами; веб-приложение, агент, CLI и воркер вызывают одно и то же Action.

  • Adapter (адаптер) — Слой (например, MCP Server, бэкенд веб-приложения, API мобильного приложения), который принимает запросы, маппит Auth-контекст, проверяет Policies и перенаправляет вызовы в Action Layer — без бизнес-логики.

Строительные блоки

  • Tool — Вызываемое действие в MCP-системе с типизированной схемой входных данных, схемой выходных данных, уровнем риска и Confirmation Policy; соответствует Capability с точки зрения агента (пример: contacts.create).

  • Resource — Читаемая точка данных или контекст, который агент может запросить (пример: projects.list, contacts.get); предоставляет подготовленный контекст вместо сырых запросов к базе данных.

  • Workflow / Prompt — Готовый многошаговый сценарий, ведущий агента через сложный процесс; в контексте MCP часто моделируется как шаблон промпта, координирующий Resources и Tools.

  • Policy — Машиночитаемое правило, определяющее, кто вправе вызывать какой Tool при каких условиях, какое подтверждение необходимо и разрешено ли автономное выполнение.

  • Audit Event — Структурированная, неизменяемая запись лога для каждого выполненного MCP-действия; содержит идентичности, уровень риска, Confirmation ID и временную метку для полной прослеживаемости.

  • Risk Metadata — Машиночитаемая маркировка Tool или Resource с уровнем риска (low / medium / high / critical / restricted) и дополнительными метаданными — обратимость и внешние побочные эффекты.

  • Human Confirmation Gate — Механизм, при котором агент перед выполнением рискованного Tool обязан получить явное согласие пользователя; блокирует автономное выполнение до подтверждения.

Идентичность и доступ

  • Human User — Настоящий авторизованный пользователь системы (например, администратор, сотрудник, менеджер проекта); отправная точка для проверок разрешений и цепочек делегирования.

  • MCP Client — Приложение, подключённое к MCP Server и делающее запросы от имени пользователя или агента (например, Claude Desktop, внутреннее ИИ-приложение или воркер-процесс).

  • Agent Identity — Конкретная идентичность агента или автоматизированного рабочего процесса (например, sales-assistant, payroll-agent); управляется отдельно от идентичности пользователя и имеет собственные Scopes и ограничения.

  • Delegated User Context — Механизм, при котором агент действует не с глобальными системными правами, а исключительно в рамках прав и контекста определённого пользователя или настроенной сервисной роли.

  • Service Identity — Идентичность для backend-to-backend процессов без человека- инициатора (например, Import Worker, Scheduled Job, Sync Worker); аутентифицируется через mTLS или подписанные Service Tokens.

  • Scope — Гранулярная единица разрешений, точно описывающая, какое действие над каким ресурсом разрешено (пример: contacts:read, emails:send, billing:write); Tools и Resources проверяют Scopes перед выполнением.

  • Tenant — Арендатор в мультитенантной системе; каждый доступ к данным привязан к тенанту (tenant:abc), так что агенты никогда не могут действовать кросс-тенантно, даже если их прочие Scopes технически допускают это.

  • Role — Набор Scopes, назначенный пользователю или Agent Identity (пример: admin, manager, viewer); образует первый уровень авторизации перед тенант-специфическими и тул-специфическими проверками Scope.

Безопасность и контроль

  • Risk Level — Классификация Tool как low, medium, high, critical или restricted; определяет, разрешено ли автономное выполнение, требуется ли подтверждение и запрашивается ли Step-up Authentication.

  • Schutzklasse (класс защиты) — Категоризация каждого Resource и Tool по чувствительности данных: Public (свободно читается), Internal (только авторизованные пользователи), Confidential (требуется явная роль), Sensitive (ограниченная передача контекста), Critical (ИИ не может действовать автономно), Forbidden for AI (ИИ-агенты не вправе ни читать, ни вызывать).

  • Confirmation Policy — Правило для каждого Tool, определяющее, какой тип согласия необходим перед выполнением: no_confirmation_required, confirmation_required, step_up_auth_required, admin_approval_required, four_eyes_required или not_allowed_for_ai.

  • Step-up Authentication — Дополнительное требование аутентификации для особо чувствительных действий (например, повторный ввод пароля, TOTP, Passkey), выходящее за рамки текущей сессии; запускается для critical Tools или привилегированных Admin-действий.

  • Consent Ledger — Постоянный реестр всех предоставленных пользователем разрешений на действия агентов; фиксирует, кто, когда, для какого Tool, в каком объёме и каким методом дал согласие — основа для аудита и ответственности.

  • Human-in-the-loop — Принцип, согласно которому агент при чувствительных или рискованных действиях обязан активно получить решение пользователя перед тем, как действовать; MCP-first означает полностью управляемо, а не полностью автоматически.

  • Redaction / Context Filtering — Целенаправленная очистка или суммаризация данных перед их попаданием в ИИ-контекст; предотвращает ненужный доступ агентов к чувствительным полям (например, bankAccount, privateNotes), даже если пользователь в принципе имеет к ним доступ.

  • Dry Run — Режим выполнения Tool, при котором все входные данные валидируются и побочные эффекты прогнозируются без фактического выполнения действия (пример: emails.bulk_send(dryRun: true)); позволяет предварительную проверку перед рискованными операциями.

  • Идемпотентность — Свойство Tool при повторном вызове с теми же параметрами не создавать ненужного дублирования; важно для логики повторных попыток и агентных рабочих процессов, где действие может быть случайно инициировано несколько раз.

  • Tool Discovery / видимость Tools — Процесс, при котором MCP Client запрашивает доступные Tools сервера; в MCP-first системе Tools фильтруются уже при Discovery по пользователю, клиенту, тенанту, роли и Scopes — а не отклоняются только при вызове.