Scaling MCP adoption: Our reference architecture for simpler, safer and cheaper enterprise deployments of MCP

TL;DR

Cloudflare chia sẻ chiến lược bảo mật toàn diện cho các AI workflow dùng Model Context Protocol (MCP) trên diện rộng trong nội bộ. Họ dùng chính các sản phẩm của mình để quản lý rủi ro từ prompt injection, supply chain, authorization sprawl, và đặc biệt là tối ưu chi phí token cho LLM.

Nói đơn giản: Như có một đội bảo vệ tinh nhuệ canh gác cho mấy con AI Agent của bạn, vừa an toàn vừa hông tốn kém.

Tổng quan

Cloudflare đang triển khai Model Context Protocol (MCP) cực kỳ mạnh mẽ trong chiến lược AI của họ. Việc này hông chỉ dừng ở team engineering mà lan ra khắp các phòng ban như product, sales, marketing, finance, giúp tăng hiệu suất công việc hàng ngày.

Tuy nhiên, việc áp dụng AI agent và MCP trên diện rộng cũng đi kèm nhiều rủi ro bảo mật. Từ việc cấp quyền tràn lan (authorization sprawl), tấn công prompt injection, cho đến các rủi ro về supply chain. Chi phí token cho LLM cũng là một bài toán lớn.

Để giải quyết, Cloudflare đã tích hợp một loạt các giải pháp bảo mật từ nền tảng Cloudflare One (SASE) và Cloudflare Developer Platform. Mục tiêu là quản lý việc sử dụng AI với MCP mà hông làm chậm tốc độ làm việc của nhân viên. Bài viết cũng giới thiệu hai khái niệm mới: Code Mode với MCP server portals (giúp giảm chi phí token) và Shadow MCP detection bằng Cloudflare Gateway.

Xài vào việc gì?

Công ty bạn đang dùng AI Agent tràn lan, hông kiểm soát được nguồn gốc: Thay vì để mỗi dev tự chạy MCP server local (dễ dính supply chain attack, hông được update vá lỗi), Cloudflare có một team tập trung quản lý việc triển khai MCP server. Họ dùng một nền tảng chung với template có sẵn, CI/CD tự động và quản lý secrets. Kết quả: Bạn kiểm soát được nguồn phần mềm, có audit log đầy đủ, giảm thiểu rủi ro bảo mật đáng kể cho toàn bộ hệ thống.

Cần giới hạn quyền truy cập của AI Agent vào các tài nguyên nội bộ nhạy cảm: Các MCP server phía trước những tài nguyên private của công ty cần được bảo vệ. Cloudflare dùng Cloudflare Access làm nhà cung cấp OAuth, yêu cầu xác thực người dùng (SSO, MFA) và kiểm tra các thuộc tính ngữ cảnh (như địa chỉ IP, vị trí, chứng chỉ thiết bị). Kết quả: Chỉ những nhân viên được ủy quyền mới có thể truy cập các MCP server này, đảm bảo dữ liệu nhạy cảm hông bị lộ.

Chi phí token cho LLM đang tăng vọt vì AI Agent phải load quá nhiều thông tin tool: Cách truyền thống là AI Agent phải load toàn bộ định nghĩa (schema) của hàng trăm, thậm chí hàng ngàn API endpoint. Điều này tốn rất nhiều token và nhanh chóng làm đầy context window của LLM. Cloudflare dùng “Code Mode” với MCP server portals. Kết quả: Thay vì load cả núi schema, Code Mode chỉ expose 2 tool chung (search và execute). AI Agent tự tìm tool cần dùng on-demand bằng JavaScript, giúp giảm tới 94% chi phí token (từ 9400 xuống 600 token trong ví dụ của họ) và chi phí này cố định dù bạn có thêm bao nhiêu MCP server đi nữa.

Lo lắng nhân viên đang dùng các MCP server hông được phép (Shadow MCP): Bạn muốn biết liệu nhân viên có đang kết nối đến các MCP server trái phép hông được quản lý. Cloudflare dùng Cloudflare Gateway để quét lưu lượng truy cập Internet của nhân viên. Kết quả: Gateway có thể phát hiện các kết nối đến MCP server hông được ủy quyền dựa trên hostname, URI path hoặc thậm chí là các regex pattern trong HTTP body (tìm các trường như “method”: “tools/call”, “initialize”). Giúp bạn phát hiện và chặn kịp thời các rủi ro bảo mật tiềm ẩn.

Các điểm chính

• Triển khai MCP Server tập trung là cực kỳ quan trọng: Tự host MCP server local là một rủi ro bảo mật lớn (supply chain, thiếu update).

  • Context: Cloudflare có team riêng quản lý MCP server, dùng monorepo template, CI/CD tự động deploy lên Cloudflare Developer Platform.
  • Hành động: Đừng để mỗi dev tự chạy MCP server. Xây dựng một nền tảng tập trung, có governance rõ ràng cho việc triển khai MCP server để kiểm soát toàn diện.

• Xác thực mạnh mẽ cho AI Agent là bắt buộc: AI Agent cũng cần được xác thực như người dùng khi truy cập tài nguyên nội bộ.

  • Context: Cloudflare Access cung cấp SSO, MFA và kiểm tra ngữ cảnh (IP, thiết bị) cho các MCP server truy cập tài nguyên private.
  • Hành động: Áp dụng các giải pháp Zero Trust như Cloudflare Access để kiểm soát ai (hay AI nào) được phép truy cập MCP server.

• MCP server portals giải quyết vấn đề khám phá và quản lý: Khi số lượng MCP server tăng lên, việc tìm kiếm và quản lý chúng trở nên khó khăn.

  • Context: Portal giúp nhân viên dễ dàng tìm thấy các MCP server được phép dùng, cung cấp logging tập trung, DLP và chính sách truy cập theo nhóm.
  • Hành động: Dùng MCP server portals để tạo một điểm truy cập duy nhất, có kiểm soát cho tất cả các AI agent vào hệ thống.

• Code Mode là cách giảm chi phí token đột phá: Việc load toàn bộ tool schema tốn kém và làm đầy context window của LLM.

  • Context: Code Mode chỉ expose 2 tool (search, execute), cho phép AI agent tự khám phá và gọi tool bằng JavaScript, giảm 94% token.
  • Hành động: Nếu bạn đang dùng hoặc có ý định dùng MCP, hãy nghiên cứu và áp dụng Code Mode để tối ưu chi phí LLM và hiệu suất.

• AI Gateway giúp quản lý LLM và chi phí: Cần một lớp trung gian giữa AI client và LLM để kiểm soát và linh hoạt.

  • Context: Cloudflare dùng AI Gateway để chuyển đổi giữa các LLM provider (tránh vendor lock-in) và áp đặt giới hạn token cho từng nhân viên.
  • Hành động: Triển khai AI Gateway để tránh phụ thuộc vào một nhà cung cấp LLM và quản lý ngân sách LLM hiệu quả hơn.

• Phát hiện Shadow MCP là cực kỳ quan trọng: Nhân viên có thể vô tình hoặc cố ý dùng MCP server hông được phép, tạo ra lỗ hổng bảo mật.

  • Context: Cloudflare Gateway dùng các selector (hostname, URI, regex trong body) để quét và phát hiện traffic MCP trái phép.
  • Hành động: Thiết lập các chính sách trên Secure Web Gateway (như Cloudflare Gateway) để chủ động tìm và chặn các MCP server hông được phê duyệt.

Quick Start

1. Làm ngay tuần này: Đánh giá lại cách bạn đang triển khai và quản lý các AI agent/workflow trong công ty. Liệu có rủi ro Shadow AI, chi phí token hông kiểm soát hông?
2. Bước tiếp: Nghiên cứu Model Context Protocol (MCP) và các giải pháp Zero Trust (như Cloudflare Access, Gateway) để có cái nhìn tổng thể về việc bảo mật AI.
3. Thói quen duy trì: Thiết lập các quy trình kiểm duyệt và triển khai tập trung cho AI agent, đồng thời theo dõi chi phí và traffic liên quan đến LLM/MCP thường xuyên.

FAQ

Model Context Protocol (MCP) là gì? MCP là một chuẩn mở giúp các ứng dụng AI (AI agent) kết nối hai chiều với các nguồn dữ liệu và API mà chúng cần truy cập. Nó tạo ra một cầu nối an toàn và có cấu trúc giữa AI và tài nguyên công ty, cho phép AI tự động thực hiện các tác vụ.

“Shadow MCP” nghĩa là gì và tại sao nó nguy hiểm? Shadow MCP là việc nhân viên sử dụng các MCP server hông được phê duyệt hoặc hông được quản lý bởi IT/Security của công ty. Nó nguy hiểm vì có thể dẫn đến rò rỉ dữ liệu, tấn công supply chain hoặc prompt injection mà hông ai hay biết, tạo ra lỗ hổng bảo mật lớn.

Code Mode giúp giảm chi phí token như thế nào? Code Mode giảm đáng kể lượng token cần thiết bằng cách hông load toàn bộ định nghĩa (schema) của tất cả các API tool vào context của LLM. Thay vào đó, nó chỉ cung cấp hai tool chung (search và execute), cho phép AI agent tự động khám phá và gọi các tool cụ thể khi cần, tối ưu hóa việc sử dụng context window của LLM.

Cloudflare Access và AI Gateway đóng vai trò gì trong bảo mật AI? Cloudflare Access cung cấp lớp xác thực mạnh mẽ (SSO, MFA) cho MCP server, đảm bảo chỉ người dùng/AI agent được ủy quyền mới truy cập được tài nguyên. AI Gateway đứng giữa AI client và LLM, giúp quản lý nhà cung cấp LLM (tránh vendor lock-in) và áp đặt giới hạn chi phí/token.