Безопасность MCP: как FlipLink защищает от разрушительных действий

Безопасность MCP-сервера простыми словами: как FlipLink тремя режимами и токеном подтверждения не даёт ИИ удалить или продать без согласия.

Sumit Ghugharwal

Опубликовано 21 июня 2026 г. · 6 min read

Обновлено 21 июня 2026 г.

Поделиться статьёй:

Подключить ИИ-ассистента к реальному инструменту — это здорово ровно до того момента, как ты понимаешь, что ассистент теперь может делать всё — создавать, публиковать и, да, удалять. Когда ты отдаёшь ИИ-агенту ключи от своего аккаунта FlipLink через MCP-сервер, напрашивается очевидный вопрос: что мешает ему удалить опубликованный флипбук или изменить цену, неправильно поняв твой запрос?

В этом руководстве разберём, как MCP-сервер FlipLink обеспечивает безопасность MCP-сервера — три режима, в которых его можно запускать, барьер с токеном подтверждения для разрушительных и денежных действий, а также как выбрать подходящую настройку под свой стиль работы.

Почему давать ИИ право на запись и удаление рискованно

ИИ, работающий только на чтение, почти ничем не грозит. Худшее, что он может сделать, — пересказать не тот список. Но как только ассистент получает возможность вызвать flipbook_delete или изменить цену, одно недопонимание оборачивается реальными последствиями: неправильно понятая инструкция, слишком ретивый цикл “почистить старые флипбуки” или попытка prompt-инъекции, спрятанная в документе, — всё это может превратиться в действия, которых ты никогда не хотел.

Решение не в том, чтобы запретить запись — это сводит на нет весь смысл автоматизации. Решение — это дозированное доверие: открывай только то, что нужно для задачи, и ставь осознанный «лежачий полицейский» перед действиями, которые непросто отменить.

Три режима

MCP-сервер FlipLink поставляется с тремя режимами, которые задаются переменной окружения FLIPLINK_MCP_MODE. Каждый режим определяет, какие именно инструменты ИИ-клиент вообще видит — если инструмент не открыт, ассистент не сможет его вызвать.

Режим	Доступные инструменты	Примечания
`readonly`	19	Только чтение — list, get, whoami. Ничего в аккаунте не меняется.
`safe`	79	По умолчанию. Чтение + обратимые записи + контроль доступа. Без удаления, без коммерции.
`full`	87	Всё, включая удаление и денежные инструменты (с барьером — см. ниже).

Вот несколько моментов, на которые стоит обратить внимание:

safe — это режим по умолчанию. Если ничего не задавать, ты получаешь только обратимые записи — создание, публикацию/снятие с публикации, установку срока действия, привязку к папке, настройку сбора лидов. Те действия, которые ты спокойно отменишь вручную.
readonly идеально подходит для аналитики и отчётов. Направь ассистента на свой аккаунт, чтобы ответить на вопрос “сколько флипбуков мы опубликовали в этом квартале?”, без малейшего риска что-то записать.
full открывает последние 8 инструментов — удаление и коммерцию — но они не срабатывают с первого вызова. Они проходят через барьер с токеном подтверждения.

Режим задаётся в блоке конфигурации клиента рядом с API-ключом:

{
  "mcpServers": {
    "fliplink": {
      "command": "npx",
      "args": ["-y", "fliplink-mcp"],
      "env": { "FLIPLINK_API_KEY": "<YOUR_KEY>", "FLIPLINK_MCP_MODE": "safe" }
    }
  }
}

Барьер с токеном подтверждения

В режиме full две самые рискованные категории — разрушительные действия (удаление флипбука) и денежные действия (изменение продажи и цен) — никогда не выполняются с первого вызова. Вместо этого сервер использует схему «предпросмотр, затем подтверждение».

Когда ассистент вызывает инструмент с барьером, сервер не выполняет действие. Он возвращает однострочный предпросмотр того, что произойдёт, плюс короткоживущий confirm_token. Этот токен привязан к точным аргументам вызова и истекает через 5 минут. Чтобы действительно выполнить действие, ассистенту нужно вызвать инструмент ещё раз с подходящим токеном.

Вот как выглядит полный цикл. Первый вызов — ассистент просит удалить флипбук:

// Call 1: flipbook_delete { "FlipbookID": "90442" }
// Server response (nothing deleted yet):
{
  "preview": "Will permanently delete flipbook 90442 (\"Q3 Sales Deck\").",
  "confirm_token": "cf_9f3a...e21",
  "expires_in": 300
}

Ассистент показывает тебе этот предпросмотр. Если ты говоришь «давай», он вызывает инструмент снова с токеном:

// Call 2: flipbook_delete { "FlipbookID": "90442", "confirm_token": "cf_9f3a...e21" }
// Now the action runs:
{ "Result": "OK" }

Поскольку токен привязан к аргументам, ассистент не сможет получить токен на удаление флипбука A и повторно использовать его для флипбука B — аргументы не совпадут, и сервер его отклонит. А поскольку он истекает через пять минут, токен, забытый в долгой переписке, сам по себе становится недействительным.

Как выбрать режим

Простое правило:

Просто изучаешь или составляешь отчёты? Используй readonly. Ты получаешь данные без всякого риска.
Повседневная автоматизация — создание и публикация флипбуков? Используй safe (режим по умолчанию). Всё, что ты делаешь, обратимо.
Тебе реально нужна автоматизация удаления или ценообразования? Используй full и положись на барьер с токеном подтверждения, чтобы необратимые действия оставались осознанными.

Большинству стоит оставаться на safe. Берись за full только тогда, когда этого требует конкретный сценарий — например, скрипт в конце квартала, который выводит из обращения старые флипбуки — и даже тогда барьер гарантирует, что каждое удаление сначала показывается в предпросмотре.

🚀

Попробуйте FlipLink бесплатно

Преобразуйте PDF за секунды. Без регистрации и кредитной карты — просто загрузите файл.

Drop your PDF here or click to browse

Макс. 40 МБ

На платных тарифах от $39 лимит вырастает до 150 MB.

Контроль на стороне сервера (API не меняется)

Одна важная деталь: всё это живёт в MCP-сервере, а не в API FlipLink. REST API точно такой же, каким был всегда — те же эндпоинты, та же авторизация по X-Api-Key, та же модель ответа Result. Режимы и барьер с токеном подтверждения — это защитные механизмы, которые слой MCP добавляет сверху.

Это важно по двум причинам. Во-первых, твои существующие интеграции с API и скрипты не затронуты — в них ничего не меняется. Во-вторых, безопасность — это не то, что ИИ-клиент может обойти уговорами: сервер просто не открывает скрытые инструменты в режимах readonly/safe и отказывается выполнять инструмент с барьером без действительного токена. Защита заложена в структуру, а не дана как совет.

Если API-ключ отсутствует или указан неверно, каждый инструмент возвращает понятную инструкцию по настройке, а не молча падает — так неправильно настроенный клиент сам подсказывает, что нужно исправить.

Аннотации MCP

Помимо фильтрации по режимам и барьера, каждый инструмент несёт стандартные аннотации MCP — подсказки-метаданные, которые благонадёжные ИИ-клиенты читают, чтобы понять природу инструмента:

readOnlyHint — инструмент только читает; он ничего не меняет.
destructiveHint — инструмент может удалять или перезаписывать данные (например, удаление).
idempotentHint — повторный вызов с теми же аргументами даёт тот же результат, что и одиночный.

Эти подсказки позволяют вдумчивому клиенту выводить собственные предупреждения или запрашивать подтверждение перед вызовом разрушительного инструмента — дополнительный уровень осторожности, который дополняет серверный барьер, а не заменяет его.

Частые вопросы

Безопасно ли использовать MCP с реальным аккаунтом? Да, если сервер построен с защитными механизмами. FlipLink по умолчанию работает в режиме safe (только обратимые записи), а необратимые действия в режиме full защищены барьером с токеном подтверждения. Ты сам решаешь, сколько доступа дать, через FLIPLINK_MCP_MODE.

Что именно разрешает режим по умолчанию? Режим safe открывает 79 инструментов: чтение, обратимые записи (создание, публикацию, установку срока действия, привязку к папке) и настройки контроля доступа. Он не включает удаление или какие-либо инструменты коммерции/ценообразования.

Может ли ИИ удалить флипбук без моего одобрения? Не в режимах readonly или safe — инструмент удаления там даже не открыт. В режиме full удаление идёт с барьером: сначала сервер возвращает предпросмотр и пятиминутный токен подтверждения, и действие выполняется только тогда, когда ассистент вызывает инструмент снова с этим самым токеном.

Меняет ли что-то из этого API FlipLink? Нет. Режимы, барьер и аннотации — всё это живёт в MCP-сервере. Лежащий в основе API — эндпоинты, авторизация по X-Api-Key и модель Result — не меняется, поэтому твои существующие интеграции продолжают работать как есть.

Что почитать ещё

Готовы создать первый флипбук?

Превращай свои PDF в интерактивные флипбуки и документы. Начни с Lifetime Deal от FlipLink — пожизненный доступ всего от $39.

Начать бесплатно Смотреть тарифы

#mcp#безопасность#guardrails#ai-agents#автоматизация

Lifetime Deal

Платите один раз — пользуйтесь всегда

10, 50 или 100 флипбуков · Все 35 функций · Безлимитные домены

$39

10 Флипбуки

$89

50 Флипбуки

Популярный выбор

$129

100 Флипбуки

Без уровней. Без ограничений по функциям. Каждый код LTD открывает всё.

Все функции открыты — без ограничений
Коды суммируются — докупайте в любой момент
Коды заменяемы — обменяйте старый на новый
Неограниченные собственные домены (CNAME)
Никаких регулярных платежей

Начать бесплатный период Смотреть планы Lifetime Deal

По теме

Tutorials8 min read

Создаём ИИ-агента, который собирает флипбуки

Создай ИИ-агента для документов, который сам превращает месячный отчёт в опубликованный флипбук через MCP-сервер FlipLink и Claude.

Sumit GhugharwalJun 21, 2026

Tutorials5 min read

Как подключить FlipLink к Claude через MCP-сервер

Настрой MCP-сервер FlipLink для Claude за пару минут — и проси Claude создавать, публиковать и вести флипбуки простыми словами.

Sumit GhugharwalJun 21, 2026

Comparisons5 min read

CLI, API или MCP во FlipLink: какую интеграцию выбрать?

CLI, API и MCP во FlipLink — сравни усилия, аудиторию и сценарии, а потом создай один флипбук тремя способами. Выбери подходящую интеграцию.

Sumit GhugharwalJun 21, 2026