Frontière Zero Trust pour MCP
Architecture de passerelle de sécurité MCP qui authentifie les appels d'outils, route l'exécution vers des sandboxes isolées, assainit les réponses et renvoie des résultats propres à l'agent IA.
Pipeline d'identité d'agent Zero Trust
Architecture d'identité Zero Trust pour agents IA avec validation JWT, échange de jeton OBO à portée limitée, identité de charge SPIFFE/SVID et autorisation d'outil MCP.
Code FlowZap complet
User { # User
n1: circle label:"Start"
n2: rectangle label:"Send request + user JWT"
n3: rectangle label:"Receive approval"
n4: circle label:"End"
n1.handle(right) -> n2.handle(left)
n2.handle(bottom) -> AgentPlatform.n5.handle(top) [label="User JWT"]
n3.handle(right) -> n4.handle(left)
}
AgentPlatform { # Agent Platform
n5: rectangle label:"Validate JWT + agent ID"
n6: rectangle label:"Exchange for scoped OBO token"
n7: rectangle label:"Receive tool result"
n8: rectangle label:"Return approval"
n5.handle(right) -> n6.handle(left)
n6.handle(bottom) -> MCPTool.n9.handle(top) [label="Scoped OBO token"]
n7.handle(right) -> n8.handle(left)
n8.handle(top) -> User.n3.handle(bottom) [label="Approved"]
}
MCPTool { # MCP Tool
n9: rectangle label:"Validate scoped token"
n10: rectangle label:"Check SPIFFE SVID"
n11: rectangle label:"Execute tool call"
n12: rectangle label:"Return tool result"
n9.handle(right) -> n10.handle(left)
n10.handle(right) -> n11.handle(left)
n11.handle(right) -> n12.handle(left)
n12.handle(top) -> AgentPlatform.n7.handle(bottom) [label="Result"]
}
Modèles associés
Architecture IA-Native Agent Unique
Une architecture IA agentique à agent unique où un seul agent gère tout : analyser les requêtes, raisonner, appeler les outils via MCP, et générer les réponses. C'est l'architecture par défaut pour les prototypes et automatisations simples—facile à déboguer mais atteint rapidement les limites de fenêtre de contexte et est difficile à paralléliser. Idéale pour les MVPs et les développeurs solo qui livrent vite.
Orchestration IA - Agent Unique (Monolithe)
L'architecture IA-native la plus simple — un agent unique qui reçoit l'entrée utilisateur, raisonne, planifie, décide des appels d'outils, traite les résultats et génère des réponses. Connexion MCP directe via stdio ou HTTP. Idéal pour les MVP et quand la latence faible compte.
Architecture du harnais Claw Code
Diagramme de l'architecture du harnais Claw Code montrant la boucle utilisateur, la couche d'orchestration Python, le runtime Rust et les systèmes externes comme le fournisseur LLM, le système de fichiers et le serveur MCP.
Contrôle d'accès à l'exécution
Architecture d'agent IA à privilège minimal avec évaluation par moteur de politique, accès just-in-time, identifiants à courte durée de vie et autorisations limitées à l'action avant l'exécution des outils.
Validation humaine à risque gradué
Architecture d'approbation humaine dans la boucle qui classe les actions de l'agent par niveau de risque, route les demandes à haut risque vers un relecteur et écrit des journaux d'audit immuables.