Sicurezza MCP: come FlipLink blocca le azioni distruttive
La sicurezza del server MCP spiegata semplice: come FlipLink usa tre modalità e un confirm token per impedire a un'IA di eliminare o vendere senza il tuo via.
Pubblicato il 21 giugno 2026 · 7 min read
Collegare un assistente IA a uno strumento reale è entusiasmante, almeno finché non ti rendi conto che adesso l'assistente può fare cose — creare, pubblicare e, sì, eliminare. Quando affidi a un agente IA le chiavi del tuo account FlipLink tramite un server MCP, la domanda ovvia è: che cosa gli impedisce di eliminare un flipbook pubblicato o di cambiare un prezzo perché ha frainteso la tua richiesta?
Questa guida spiega come il server MCP di FlipLink gestisce la sicurezza del server MCP — le tre modalità in cui puoi eseguirlo, il confirm-token gate che protegge le azioni distruttive e quelle legate al denaro, e come scegliere la configurazione giusta per il tuo modo di lavorare.
Perché lasciare che un'IA esegua scritture ed eliminazioni è rischioso
Un'IA di sola lettura comporta pochi rischi. Il peggio che può fare è riassumere l'elenco sbagliato. Ma nel momento in cui un assistente può chiamare flipbook_delete o modificare i prezzi, un singolo malinteso ha conseguenze reali: un'istruzione fraintesa, un loop troppo zelante di “pulizia dei vecchi flipbook” o un tentativo di prompt injection nascosto in un documento possono trasformarsi tutti in azioni che non avevi mai voluto.
La soluzione non è vietare le scritture — significherebbe vanificare l'automazione. La soluzione è la fiducia graduale: esponi solo ciò che serve al compito e metti un dosso deliberato davanti alle azioni che non puoi annullare facilmente.
Le tre modalità
Il server MCP di FlipLink viene fornito con tre modalità, impostate tramite la variabile d'ambiente FLIPLINK_MCP_MODE. Ogni modalità controlla esattamente quali strumenti il client IA può anche solo vedere — se uno strumento non è esposto, l'assistente non può chiamarlo.
| Modalità | Strumenti esposti | Note |
|---|---|---|
readonly | 19 | Solo letture — list, get, whoami. Niente modifica il tuo account. |
safe | 79 | La predefinita. Letture + scritture reversibili + controllo accessi. Nessuna eliminazione, nessuna operazione commerciale. |
full | 87 | Tutto, comprese le eliminazioni e gli strumenti legati al denaro (protetti — vedi sotto). |
Vale la pena sottolineare alcune cose:
safeè la modalità predefinita. Se non imposti nulla, ottieni solo scritture reversibili — creare, pubblicare/annullare la pubblicazione, impostare la scadenza, assegnare a una cartella, configurare la raccolta contatti. Le azioni che ti sentiresti tranquillo ad annullare a mano.readonlyè perfetta per analisi e reportistica. Punta un assistente sul tuo account per rispondere a “quanti flipbook abbiamo pubblicato questo trimestre?” senza alcuna possibilità di scrittura.fullsblocca gli ultimi 8 strumenti — eliminazione e operazioni commerciali — ma non si attivano alla prima chiamata. Passano per il confirm-token gate.
Imposti la modalità nel blocco di configurazione del client, accanto alla tua chiave API:
{
"mcpServers": {
"fliplink": {
"command": "npx",
"args": ["-y", "fliplink-mcp"],
"env": { "FLIPLINK_API_KEY": "<YOUR_KEY>", "FLIPLINK_MCP_MODE": "safe" }
}
}
}
Il confirm-token gate
In modalità full, le due categorie più rischiose — le azioni distruttive (eliminare un flipbook) e quelle legate al denaro (vendite e modifiche di prezzo) — non vengono mai eseguite alla prima chiamata. Il server usa invece un handshake preview-then-confirm.
Quando l'assistente chiama uno strumento protetto, il server non esegue l'azione. Restituisce un'anteprima (preview) su una riga di ciò che accadrebbe, più un confirm_token a breve durata. Quel token è legato agli argomenti esatti della chiamata e scade dopo 5 minuti. Per eseguire davvero l'azione, l'assistente deve chiamare di nuovo lo strumento con il token corrispondente.
Ecco il percorso completo. Prima chiamata — l'assistente chiede di eliminare un flipbook:
// Call 1: flipbook_delete { "FlipbookID": "90442" }
// Server response (nothing deleted yet):
{
"preview": "Will permanently delete flipbook 90442 (\"Q3 Sales Deck\").",
"confirm_token": "cf_9f3a...e21",
"expires_in": 300
}
L'assistente ti mostra quell'anteprima. Se dai il via libera, chiama di nuovo con il token:
// Call 2: flipbook_delete { "FlipbookID": "90442", "confirm_token": "cf_9f3a...e21" }
// Now the action runs:
{ "Result": "OK" }
Poiché il token è legato agli argomenti, un assistente non può ottenere un token per eliminare il flipbook A e riutilizzarlo sul flipbook B — gli argomenti non corrispondono e il server lo rifiuta. E poiché scade dopo cinque minuti, un token lasciato in giro in una conversazione lunga decade da solo.
Come scegliere una modalità
Una semplice regola pratica:
- Stai solo esplorando o facendo report? Usa
readonly. Ottieni informazioni con rischio zero. - Automazione quotidiana — creare e pubblicare flipbook? Usa
safe(la predefinita). Tutto ciò che fai è reversibile. - Hai davvero bisogno di automatizzare eliminazioni o prezzi? Usa
fulle affidati al confirm-token gate per mantenere deliberate le azioni irreversibili.
La maggior parte delle persone dovrebbe restare su safe. Ricorri a full solo quando un flusso di lavoro specifico lo richiede — per esempio, uno script di fine trimestre che ritira i vecchi flipbook — e anche in quel caso il gate garantisce che ogni eliminazione venga mostrata in anteprima prima che avvenga.
Prova FlipLink Gratis
Converti il tuo PDF in pochi secondi. Senza registrazione, senza carta di credito — basta caricare il file.
Drop your PDF here or click to browse
Max 40MB
I piani a pagamento da $39 portano questo limite a 150 MB.
Applicazione lato server (l'API resta invariata)
Un dettaglio importante: tutto questo vive nel server MCP, non nell'API di FlipLink. La REST API è esattamente la stessa di sempre — stessi endpoint, stessa autenticazione X-Api-Key, stesso modello di risposta Result. Le modalità e il confirm-token gate sono guardrail che il livello MCP aggiunge sopra.
Questo conta per due motivi. Primo, le tue integrazioni e i tuoi script API esistenti non sono toccati — nulla di loro cambia. Secondo, la sicurezza non è qualcosa che il client IA possa aggirare con le parole: il server semplicemente non espone strumenti nascosti in readonly/safe, e si rifiuta di agire su uno strumento protetto senza un token valido. L'applicazione è strutturale, non un semplice consiglio.
Se la tua chiave API manca o è errata, ogni strumento restituisce istruzioni di configurazione chiare invece di fallire in silenzio — così un client mal configurato ti dice cosa correggere.
Le annotazioni MCP
Oltre al filtro delle modalità e al gate, ogni strumento porta con sé le annotazioni MCP standard — suggerimenti sotto forma di metadati che i client IA ben progettati leggono per capire la natura di uno strumento:
readOnlyHint— lo strumento si limita a leggere; non modifica nulla.destructiveHint— lo strumento può rimuovere o sovrascrivere dati (per esempio, eliminare).idempotentHint— chiamarlo due volte con gli stessi argomenti ha lo stesso effetto di chiamarlo una sola volta.
Questi suggerimenti permettono a un client attento di mostrare i propri avvisi o di chiedere conferma prima di invocare uno strumento distruttivo — un ulteriore livello di prudenza che integra il gate lato server, senza sostituirlo.
FAQ
MCP è sicuro da usare con un account reale?
Sì, quando il server è costruito con i guardrail. FlipLink usa per impostazione predefinita la modalità safe (solo scritture reversibili), e le azioni irreversibili in modalità full sono protette da un confirm-token gate. Sei tu a decidere quanto accesso concedere tramite FLIPLINK_MCP_MODE.
Che cosa consente davvero la modalità predefinita?
La modalità safe espone 79 strumenti: letture, scritture reversibili (creare, pubblicare, impostare la scadenza, assegnare a una cartella) e impostazioni di controllo accessi. Non include l'eliminazione né alcuno strumento commerciale o di prezzo.
L'IA può eliminare un flipbook senza la mia approvazione?
No, in readonly o safe — lo strumento di eliminazione non è nemmeno esposto. In modalità full l'eliminazione è protetta: il server restituisce prima un'anteprima e un confirm token valido 5 minuti, e l'azione viene eseguita solo quando l'assistente chiama di nuovo con quel token esatto.
Qualcosa di tutto questo cambia l'API di FlipLink?
No. Le modalità, il gate e le annotazioni vivono tutti nel server MCP. L'API sottostante — endpoint, autenticazione X-Api-Key e il modello Result — resta invariata, quindi le tue integrazioni esistenti continuano a funzionare così come sono.
Letture correlate
Pronto a creare il tuo primo flipbook?
Trasforma i tuoi PDF in flipbook e documenti interattivi. Inizia con il Lifetime Deal di FlipLink: accesso a vita a partire da soli $39.
Paga una volta, usa per sempre
10, 50 o 100 flipbook · Tutte le 35 funzioni · Domini illimitati
Nessun livello. Nessun blocco. Ogni codice LTD sblocca tutto.
- Ogni funzione sbloccata — nessun limite
- Cumulabile — acquista più codici quando vuoi
- Sostituibile — scambia il vecchio con il nuovo
- Domini personalizzati illimitati (CNAME)
- Nessun costo ricorrente, mai
Letture correlate
Crea un agente AI che genera flipbook
Crea un agente AI per i documenti che trasforma un report mensile in un flipbook pubblicato in automatico, con il server MCP di FlipLink e Claude.
Come collegare FlipLink a Claude con il server MCP
Configura il server MCP Claude di FlipLink in pochi minuti, così Claude può creare, pubblicare e gestire i flipbook al posto tuo, parlando in linguaggio naturale.
FlipLink CLI, API o MCP: quale integrazione conviene usare?
CLI, API o MCP per FlipLink: confronta impegno, pubblico e casi d'uso, poi crea lo stesso flipbook in tre modi. Scegli l'integrazione giusta.