Aklman · Library

06 / 第六章

接外部 · 够到你的数据与工具.

agent 默认只看得见你的终端和仓库。MCP(Model Context Protocol)给它接上外面的东西:你的数据库、issue 跟踪、监控、内部 API —— Warp 还能直接读你已有的 Claude / Codex MCP 配置。这章讲哪些该连、连上之后 agent 多了什么、为什么能连不等于该连,以及一条权限上的红线。


到这里,agent 看得见的还只是你的终端和仓库。但你大半上下文不在那儿 —— 在数据库、issue 跟踪、监控面板、内部 API 里。MCP(Model Context Protocol)是那根接线:把这些外部数据和工具接进来,agent 就能直接读、直接调。这章讲哪些该连、连上之后多了什么,以及一条权限红线。

I

MCP 给 agent 接上终端之外.

MCP 是 agent 的插件口:用一个标准接口,把外部工具和数据源挂上来。 连上一个数据库 MCP,agent 就能查你的真实数据;连上 issue 跟踪(GitHub、Linear、Jira),它能读工单写状态;连上监控,它能就着真实指标判断。1注 1Warp Docs · Model Context Protocol (MCP) —— 截至 2026-07-10,MCP servers 用标准接口给 Warp 本地 agent 暴露工具和数据源;支持 CLI command server、Streamable HTTP / SSE URL server、自定义 headers、环境变量。这是它从「只懂命令行」迈到「够得着你整套系统」的那一步 —— 一个光看终端答不了的问题(「这次发布慢,是哪个服务的 P99 涨了」),连上监控 MCP 它就能自己查、自己答。接口是标准化的,所以你今天给 Claude 或 Codex 配过的 MCP 服务器,往往能原样用在 Warp 上。
风险级别例子默认策略
只读文档、只读数据库、GitHub issue 读取、日志查询可先接,但仍记录权限和日志位置
草拟起草 issue 回复、生成 PR 描述、创建草稿工单允许生成,不自动发布
写入改 issue 状态、写数据库、改云资源默认 denylist,每次批准
高风险支付、客户数据导出、密码管理器、生产控制台、邮件发送不要接,或只在隔离环境临时接

II

它能读你已有的配置.

你不必重新配一遍 —— Warp 会自动检测你已有的 Claude / Codex MCP 配置,加服务器也不用重启。 Settings > Agents > MCP servers 里加,或用 Warp Drive 里的 MCP Servers 入口。全局 Warp file-based servers 默认 auto-spawn;第三方全局 servers 要你显式打开「Auto-spawn servers from third-party agents」;项目级 servers 永不自动启动,重启后还要重新手动开。2注 2Warp Docs · MCP security behavior —— 全局 Warp file-based servers 默认 auto-spawn;第三方全局 servers 需开启 Auto-spawn servers from third-party agents;项目级 servers 永不自动启动,需逐个手动开启;MCP 配置编辑需要批准。这条规则很重要:从陌生 repo clone 下来的 .warp/.mcp.json 不能自己启动本地命令。一个 CLI 型条目通常长这样(示意,真正可用的 package 和参数以对应 MCP server 文档为准):
{
  "docs-ro": {
    "command": "npx",
    "args": ["-y", "mcp-remote", "https://example.com/mcp"],
    "env": {
      "DOCS_TOKEN": "<read_only_token>"
    },
    "working_directory": "/absolute/path/to/project"
  }
}

一个只读 MCP 服务器条目(CLI 型,示意)

提示词MCP 接入审查模板
我要给 Warp Agent 接一个 MCP server:<server-name>。
先不要安装或启动。
请帮我审查:
1. 它能读什么;
2. 它能写什么;
3. 凭据放在哪里,能否撤销;
4. 日志在哪里,是否可能含 token;
5. 该设为 allowlist、Agent decides 还是 denylist;
6. 第一次只读验证问题应该问什么。
我要给 Warp Agent 接一个 MCP server:github-mcp-server。
先不要安装或启动。
请帮我审查:
1. 它能读什么;
2. 它能写什么;
3. 凭据放在哪里,能否撤销;
4. 日志在哪里,是否可能含 token;
5. 该设为 allowlist、Agent decides 还是 denylist;
6. 第一次只读验证问题应该问什么。

III

能连不等于该连.

每多接一个 MCP 服务器,agent 能做的事变多,能闯的祸也变多。 三笔代价要算:多一个外部依赖就多一份攻击面,多一组工具就多烧 token,多一处写权限就多一处它能改坏的地方。所以默认连只读,写权限单独想清楚。Warp 让你对每个 MCP 服务器选「Agent decides / allowlist / denylist」,denylist 优先于另两者、命中必须人工批准 —— 生产库的写口就该进 denylist。3注 3Warp Docs · Agent Profiles & Permissions —— 可针对每个 MCP 服务器选择「Agent decides」、allowlist 或 denylist;denylist 优先于 allowlist 与「Agent decides」,命中必须人工批准。连之前先问三句:这服务器要的权限是只读还是能写?它的工具会不会把敏感数据带出去?这件事我多久用一次、值不值得让它常驻?「能连」是接口给的能力,「该连」是你给的判断。
你要做的事优先选原因
一次性调用一个公开 APIAPI CLI / curl轻,不扩大长期权限边界
重复查内部资料或 issueMCP让 agent 直接读上下文
固定的数据清洗流程shell script / Workflow可审计、可复现、少 token
需要网页登录、点按钮、看页面状态浏览器 / Computer Use 类工具MCP 不是 GUI 自动化
只连一个,把分寸先练出来:
01

连一个只读的 MCP 服务器

挑一个低风险的(本地数据库只读、文档服务器都行),用 npx 跑通再贴进 Settings > Agents > MCP servers
02

问一个光看终端答不了的问题

让 agent 用这个服务器回答,确认它真读到了外部数据,而不是凭空编。
03

把它的权限收成只读 allowlist

设完权限再依赖它 —— 这一步就是「能连」和「该连」之间的那道闸。

能连的是接口, 该连的是判断.

What can connect is the interface, what should connect is judgment.

Aklman Library

讨论

讨论.

评论区初始化中…