Cloudflare publiserte 22. april en referansearkitektur for hvordan Model Context Protocol (MCP) bør deployes i bedriftsmiljø, ifølge InfoQ. Premisset er enkelt: lokale MCP-servere er en sikkerhetsrisiko fordi de ofte er uverifisert programvare uten sentralisert tilsyn. Løsningen Cloudflare foreslår er at MCP-servere alltid deployes på deres developer-plattform og forvaltes av et sentralt team.
Autentisering går gjennom Cloudflare Access med SSO, MFA og kontekstuelle signaler som device posture og lokasjon. Et «MCP server portal» gir brukere ett sted å finne og kalle autoriserte servere, mens administratorer kan håndheve DLP-regler og verktøyseksponering på tool-nivå.
«Code Mode can reduce token usage by up to 99.9%, mitigating context window limitations.» — Cloudflare, referansearkitektur-annonsering
Det tekniske trikset som får mye oppmerksomhet er «Code Mode». I stedet for å eksponere hver eneste API-operasjon til modellen, kollapser Code Mode verktøydefinisjonene til et lite sett dynamiske entry points. Modellen oppdager og kaller verktøy on demand. Cloudflares egne tall: opptil 99,9 prosent reduksjon i token-forbruk. Det løser et reelt problem — store MCP-installasjoner har raskt blitt for kontekstvinduene til selv de største modellene.
Mellom MCP-klientene og modellene sitter en «AI Gateway» som router forespørsler mellom ulike modell-leverandører og håndhever bruks-grenser og token-forbruk per bruker. Det gir finmaskede cost controls og gjør at en bedrift kan bytte fra for eksempel Claude til Gemini uten å endre kode i selve agenten.
Forrester påpeker i artikkelen at MCP fort blir misforstått som en governance-layer, men i praksis fungerer det mer som RPC eller messaging. Den egentlige bedrifts-utfordringen er et eget «control plane» for observability og policy, som sitter over både tool integration og orchestration. Cloudflares tilnærming passer inn i den bredere bevegelsen mot å eksternalisere kontroll — ikke noe som er iboende i MCP selv.
Forskere har dokumentert at MCP-integrasjoner kan utnyttes til arbitrær kodekjøring og data-exfiltration via prompt injection og supply chain-angrep. Akademiske studier viser at risikoen er arkitektonisk, ikke bare implementasjonsfeil. Det er i denne konteksten Cloudflares arkitektur må leses: som et forsøk på å omslutte et protokoll-nivå-problem med sentralisert styring.
Hva bør du gjøre?
- Kjører du MCP lokalt mot produksjonsdata, gjør en trusselmodell-øvelse nå. Prompt injection og verktøykjeder er ikke teoretisk — angrepsmønstrene er dokumentert.
- Hvis du bygger agent-produkt for team eller bedrift, vurder Code Mode-mønsteret selv om du ikke bruker Cloudflare. Å eksponere færre, dynamiske entry points reduserer både kontekstforbruk og angrepsflate.
- Trekk en arkitektur-linje mellom «tool integration» (MCP), «orchestration» (agent-rammeverket) og «control plane» (policy, observability). Blander du dem, får du hverken god governance eller ren kode.
Bakgrunn
MCP er Anthropics åpne protokoll for å koble KI-agenter til eksterne verktøy og datakilder. Siden lansering har den vokst raskt — særlig gjennom Claude Desktop og Claude Code — men har også blitt en vanlig vektor for agent-sikkerhetshendelser når servere kjøres lokalt uten kontroll.