FlipLink

MCP-veiligheid: zo beschermt FlipLink je tegen destructieve acties

MCP-serverveiligheid in begrijpelijke taal: hoe FlipLink met drie modi en een confirm-token voorkomt dat een AI verwijdert of verkoopt zonder jouw akkoord.

Sumit Ghugharwal
Sumit Ghugharwal

Gepubliceerd op 21 juni 2026 · 7 min read

Deel dit artikel:

Een AI-assistent koppelen aan een echte tool is spannend — tot je je realiseert dat de assistent nu dingen kan doen: aanmaken, publiceren en ja, ook verwijderen. Op het moment dat je een AI-agent via een MCP-server de sleutels tot je FlipLink-account geeft, is de voor de hand liggende vraag: wat houdt hem tegen om een gepubliceerd flipbook te verwijderen of een prijs te wijzigen omdat hij je verzoek verkeerd las?

In deze gids laten we zien hoe de FlipLink MCP-server omgaat met MCP-serverveiligheid — de drie modi waarin je hem kunt draaien, de confirm-token-gate die destructieve en geldacties beschermt, en hoe je de juiste opzet kiest voor de manier waarop jij werkt.

Waarom een AI write- en delete-acties laten uitvoeren riskant is

Een alleen-lezen AI levert weinig risico op. Het ergste wat hij kan doen, is de verkeerde lijst samenvatten. Maar zodra een assistent flipbook_delete kan aanroepen of de prijsstelling kan wijzigen, heeft één misverstand echte gevolgen: een verkeerd gelezen instructie, een al te ijverige “oude flipbooks opruimen”-lus, of een prompt-injectiepoging die in een document verstopt zit, kunnen allemaal uitmonden in acties die je nooit bedoelde.

De oplossing is niet om writes te verbieden — dat haalt het hele punt van automatisering onderuit. De oplossing is gefaseerd vertrouwen: leg alleen bloot wat de taak nodig heeft, en zet een bewuste drempel voor de acties die je niet makkelijk ongedaan kunt maken.

De drie modi

FlipLink's MCP-server wordt geleverd met drie modi, die je instelt met de omgevingsvariabele FLIPLINK_MCP_MODE. Elke modus bepaalt precies welke tools de AI-client überhaupt kan zien — als een tool niet wordt blootgelegd, kan de assistent hem niet aanroepen.

ModusTools blootgelegdOpmerkingen
readonly19Alleen lezen — list, get, whoami. Niets verandert aan je account.
safe79De standaard. Lezen + omkeerbare writes + toegangsbeheer. Geen delete, geen handel.
full87Alles, inclusief delete- en geldtools (gated — zie hieronder).

Een paar dingen die het benoemen waard zijn:

  • safe is de standaard. Als je niets instelt, krijg je alleen omkeerbare writes — aanmaken, publiceren/depubliceren, vervaldatum instellen, aan een map toewijzen, leadcaptatie configureren. De acties die je met een gerust hart met de hand ongedaan zou maken.
  • readonly is perfect voor analyses en rapportage. Richt een assistent op je account om “hoeveel flipbooks hebben we dit kwartaal gepubliceerd?” te beantwoorden, met nul kans op een write.
  • full ontgrendelt de laatste 8 tools — delete en handel — maar die vuren niet bij de eerste aanroep. Ze gaan door de confirm-token-gate.

Je stelt de modus in je clientconfiguratieblok in, naast je API-sleutel:

{
  "mcpServers": {
    "fliplink": {
      "command": "npx",
      "args": ["-y", "fliplink-mcp"],
      "env": { "FLIPLINK_API_KEY": "<YOUR_KEY>", "FLIPLINK_MCP_MODE": "safe" }
    }
  }
}

De confirm-token-gate

In de full-modus draaien de twee meest riskante categorieën — destructieve acties (een flipbook verwijderen) en geldacties (verkoop- en prijswijzigingen) — nooit bij de eerste aanroep. In plaats daarvan gebruikt de server een preview-dan-bevestig-handshake.

Wanneer de assistent een gated tool aanroept, voert de server de actie niet uit. Hij geeft een preview van één regel terug van wat er zou gebeuren, plus een kortstondige confirm_token. Dat token is gebonden aan de exacte argumenten van de aanroep en verloopt na 5 minuten. Om de actie daadwerkelijk uit te voeren, moet de assistent de tool opnieuw aanroepen met het bijbehorende token.

Hier is de heen-en-weergang. Eerste aanroep — de assistent vraagt om een flipbook te verwijderen:

// Call 1: flipbook_delete { "FlipbookID": "90442" }
// Server response (nothing deleted yet):
{
  "preview": "Will permanently delete flipbook 90442 (\"Q3 Sales Deck\").",
  "confirm_token": "cf_9f3a...e21",
  "expires_in": 300
}

De assistent laat je die preview zien. Als je zegt dat het mag, roept hij de tool opnieuw aan met het token:

// Call 2: flipbook_delete { "FlipbookID": "90442", "confirm_token": "cf_9f3a...e21" }
// Now the action runs:
{ "Result": "OK" }

Omdat het token args-gebonden is, kan een assistent geen token voor het verwijderen van flipbook A bemachtigen en dat hergebruiken op flipbook B — de argumenten komen niet overeen en de server weigert het. En omdat het na vijf minuten verloopt, raakt een token dat in een lang gesprek blijft rondslingeren vanzelf verlopen.

Hoe je een modus kiest

Een eenvoudige vuistregel:

  • Alleen aan het verkennen of rapporteren? Gebruik readonly. Je krijgt inzicht met nul risico.
  • Dagelijkse automatisering — flipbooks aanmaken en publiceren? Gebruik safe (de standaard). Alles wat je doet, is omkeerbaar.
  • Heb je echt delete- of prijsautomatisering nodig? Gebruik full en vertrouw op de confirm-token-gate om de onomkeerbare acties bewust te houden.

De meeste mensen kunnen het beste op safe blijven. Grijp alleen naar full wanneer een specifieke workflow dat nodig heeft — bijvoorbeeld een script aan het einde van het kwartaal dat oude flipbooks afvoert — en zelfs dan zorgt de gate ervoor dat elke verwijdering wordt gepreviewd voordat hij plaatsvindt.

🚀

Probeer FlipLink Gratis

Converteer je PDF in seconden. Geen registratie, geen creditcard — gewoon uploaden en starten.

Drop your PDF here or click to browse

Max. 40MB

Met een betaald abonnement vanaf $39 verhoog je dit naar 150 MB.

Handhaving aan de serverkant (de API blijft ongewijzigd)

Eén belangrijk detail: dit alles zit in de MCP-server, niet in de FlipLink-API. De REST-API is precies hetzelfde als altijd — dezelfde endpoints, dezelfde X-Api-Key-authenticatie, hetzelfde Result-responsmodel. De modi en de confirm-token-gate zijn vangrails die de MCP-laag er bovenop legt.

Dat is om twee redenen belangrijk. Ten eerste blijven je bestaande API-integraties en scripts onaangetast — er verandert niets aan. Ten tweede is de veiligheid niet iets waar de AI-client zich uit kan praten: de server legt simpelweg geen verborgen tools bloot in readonly/safe, en hij weigert te handelen bij een gated tool zonder een geldig token. De handhaving is structureel, niet adviserend.

Als je API-sleutel ontbreekt of verkeerd is, geeft elke tool duidelijke instellingsinstructies terug in plaats van stilletjes te falen — zo vertelt een verkeerd geconfigureerde client je wat je moet repareren.

MCP-annotaties

Bovenop het filteren per modus en de gate draagt elke tool standaard MCP-annotaties — metadatahints die nette AI-clients lezen om de aard van een tool te begrijpen:

  • readOnlyHint — de tool leest alleen; hij verandert niets.
  • destructiveHint — de tool kan data verwijderen of overschrijven (bijv. delete).
  • idempotentHint — hem twee keer met dezelfde argumenten aanroepen heeft hetzelfde effect als hem één keer aanroepen.

Met deze hints kan een doordachte client zijn eigen waarschuwingen tonen of om bevestiging vragen voordat hij een destructieve tool aanroept — een extra laag voorzichtigheid die de gate aan de serverkant aanvult in plaats van vervangt.

Veelgestelde vragen

Is MCP veilig om te gebruiken met een echt account? Ja, als de server met vangrails is gebouwd. FlipLink gebruikt standaard de safe-modus (alleen omkeerbare writes), en de onomkeerbare acties in de full-modus worden beschermd door een confirm-token-gate. Jij bepaalt hoeveel toegang je geeft via FLIPLINK_MCP_MODE.

Wat staat de standaardmodus eigenlijk toe? De safe-modus legt 79 tools bloot: lezen, omkeerbare writes (aanmaken, publiceren, vervaldatum instellen, aan een map toewijzen) en toegangsbeheerinstellingen. Hij omvat geen delete of welke handels-/prijstools dan ook.

Kan de AI een flipbook verwijderen zonder mijn goedkeuring? Niet in readonly of safe — de delete-tool wordt niet eens blootgelegd. In de full-modus is delete gated: de server geeft eerst een preview en een confirm-token van 5 minuten terug, en de actie draait pas wanneer de assistent opnieuw aanroept met dat exacte token.

Verandert iets hiervan de FlipLink-API? Nee. De modi, de gate en de annotaties zitten allemaal in de MCP-server. De onderliggende API — endpoints, X-Api-Key-authenticatie en het Result-model — blijft ongewijzigd, dus je bestaande integraties blijven gewoon werken.

Verder lezen

Klaar om je eerste flipbook te maken?

Zet je PDF's om in interactieve flipbooks en documenten. Begin met de Lifetime Deal van FlipLink — levenslange toegang vanaf slechts $39.

Ga gratis aan de slagBekijk prijzen
#mcp#security#guardrails#ai-agents#automation
Lifetime Deal

Betaal eenmalig, gebruik voor altijd

10, 50 of 100 flipbooks · Alle 35 functies · Onbeperkte domeinen

$39
10 Flipbooks
$89
50 Flipbooks
Populairst
$129
100 Flipbooks

Geen niveaus. Geen functiebeperkingen. Elke LTD-code ontgrendelt alles.

  • Elke functie ontgrendeld — geen grenzen
  • Stapelbaar — koop extra codes wanneer je wilt
  • Vervangbaar — wissel oud voor nieuw
  • Onbeperkt eigen domeinen (CNAME)
  • Geen terugkerende kosten, nooit
Start gratis proefversieBekijk Lifetime Deal-plannen

Gerelateerde artikelen

Tutorials9 min read

Bouw een AI-agent die flipbooks maakt

Bouw een AI-agent voor documenten die een maandrapport automatisch omzet in een gepubliceerd flipbook met de FlipLink MCP-server en Claude.

Sumit Ghugharwal