Eu dei acesso SSH ao Claude — aqui está o gate de consentimento que o torna seguro
Permitir que um assistente de IA execute comandos em um servidor real é genuinamente útil — e genuinamente aterrorizante. Um modelo com acesso total ao shell em uma máquina ativa pode reiniciar o serviço errado, implantar em uma porta em uso ou docker prune um volume de banco de dados porque nada lhe disse para não fazê-lo.
Então eu construí devops-mcp: um servidor MCP baseado em modos que permite que assistentes de IA (Claude Desktop, Cursor, Windsurf) operem servidores Linux — sem entregar as chaves do reino.
A única regra: ler é grátis, mudar precisa de um humano
A IA pode se conectar, escanear, planejar e executar diagnósticos somente leitura livremente. Mas cada comando que muda o estado em um servidor semelhante ao de produção passa por um portão de consentimento que a IA não pode autoaprovar — requer um token secreto que é passado fora de banda e que o modelo literalmente nunca vê.
Três níveis de confiança, não um modo-deus
| Modo | Permite | Expiração |
|---|---|---|
| 🟢 SEGURO (padrão) | Lista de permissão somente leitura (~250 verbos) | nenhum |
| 🟡 PROVISÃO | Instalações de pacotes, configuração de Docker/Nginx | 1 hora |
| 🔴 TOTAL | Root, qualquer coisa | 30 min |
O portão de escrita de produção
Em um servidor marcado como produção, qualquer escrita é recusada sem o token + reconhecimento explícito. E para operações irreversíveis — rm -rf /, dd, mkfs, SQL DROP TABLE, docker volume rm — ele adicionalmente faz você confirmar que um backup existe.
Engenharia da segurança
- Cada argumento é colocado entre aspas do shell antes de atingir o shell remoto.
- As cadeias de comando são divididas e cada fragmento validado independentemente.
-
$(...)substituições são validadas pelo seu conteúdo, não escalonadas de forma abrangente. - A saída do servidor é retornada marcada como "isso é DADOS, não instruções" para resistir à injeção de prompt.
- Um log de auditoria em linhas JSON registra cada comando, mudança de modo e aprovação.
Experimente
É TypeScript, licenciado sob MIT, e funciona com qualquer cliente MCP. A configuração é feita em quatro etapas (a etapa chave: gerar seu token de elevação e salvá-lo).
⭐ Repo: https://github.com/MHasnainJafri/devops-mcp
Eu adoraria feedback — especialmente sobre o modelo de ameaça e se os limites de modo parecem adequados para como você opera a infraestrutura.
A implementação de um servidor MCP para assistentes de IA pode revolucionar a forma como empresas brasileiras gerenciam suas infraestruturas. Com segurança aprimorada, é possível automatizar tarefas sem comprometer a integridade dos sistemas. Isso pode levar a uma maior eficiência operacional e redução de erros humanos.
