Sju av punktene i endringsloggen for Outline 1.9.0 gjelder MCP-serveren, ifølge utgivelsesnotatene på GitHub. Den kan nå lese og bruke maler (#12639) og gjenopprette slettede dokumenter (#12575), og verktøyet create_document tar imot HTML som inndata (#12943). Verktøyene document_update og collection_update returnerer feil når ingenting faktisk endres, i stedet for å melde suksess.
To av endringene handler om hvordan agenter oppfører seg når de er koblet på. Samlinger som opprettes via MCP er nå private som standard (#12644), slik at en agent som rydder i dokumentasjonen din ikke publiserer en ny samling til hele arbeidsområdet ved et uhell. Og /mcp svarer med WWW-Authenticate-header på 401 (#12834), slik at MCP-klienter kan finne autorisasjonsserveren selv i stedet for å feile stumt.
For deg som selvhoster er passkey på skrivebord (#12749) den synlige nyheten, men resten av utgivelsen er infrastruktur: signerte vedleggs-URLer via CloudFront, presignerte PUT-opplastinger mot S3-kompatibel lagring (#12748), spec-kompatibel OIDC-utlogging (#12804) og et nytt miljøvalg PROXY_HEADERS_TRUSTED som står på som standard.
Utgivelsen inneholder også rettelser som grenser mot sikkerhet: en leser kunne røpe at et delt dokument fantes (#12769), og bare brukere med «manage»-rettigheter kan nå redigere sidetillatelser (#12597).
Hva bør du gjøre?
- Gå gjennom MCP-tillatelsene før du oppgraderer hvis agenter allerede skriver til Outline. Standardverdien for nye samlinger endres til privat, og automatikk som forventet delte samlinger vil oppføre seg annerledes.
- Vurder PROXY_HEADERS_TRUSTED hvis Outline eksponeres direkte mot internett. Valget står på som standard og lar klienten diktere proxy-headere.
- Test OIDC-utloggingen før du ruller ut, særlig hvis du autentiserer mot Azure eller Entra. Utloggingen følger nå spesifikasjonen.