Orchestrator 用户指南

UiPath MCP 服务器允许智能体通过模型上下文协议 (MCP) 利用外部工具和代码。

其中包括：

虽然 UiPath Platform 为这些集成提供安全的通信和监管，但任何外部端点或自定义代码在核心平台安全边界之外运行。这意味着一旦数据或操作离开 UiPath 的受控环境，客户需对其安全性和合规性承担责任。在实际使用中，UiPath 在其服务内确保传输中和静态存储时的加密，并强制执行基于角色的访问控制，但对于 UiPath 之外的任何内容（外部服务器或代码），数据隐私、端点安全和法规合规仍由客户负责。

RemoteServer 配置定义了与外部 HTTP(S) 端点的连接（用于 MCP StreamableHttp 传输）。安全影响在于，发送至该外部服务或从该外部服务接收的任何数据均不在 UiPath 的直接控制范围内。如果 RemoteServer 需要身份验证（API 机密信息、令牌等），用户可能会倾向于将这些机密信息直接嵌入到 HTTP 标头或 URL 中。将机密信息直接存储在配置中存在风险——尽管 UiPath MCP 服务会在 UI 中对这类敏感标头值进行掩码显示，并在静态时在数据库中对其进行加密，但这些数据仍会在系统中传输，如果处理不当，仍可能被暴露。此外，诸如端点 URL、正文有效负载或查询参数等字段在数据库中不会被加密，因此绝不应在这些字段中存放任何敏感数据。如果端点遭到入侵或通信不安全，发送至外部端点的数据可能会被拦截或误用。简而言之，由于 RemoteServers 将您的自动化扩展到外部网络，因此您必须确保这些端点是可信的，并且在传输过程中不会泄露任何机密信息或敏感信息。

CodedServers 指您打包并作为智能体一部分运行的自定义代码（例如 Python 脚本或程序），而 CommandServers 则在无服务器运行时中运行 shell 命令或脚本。两者都会在由 UiPath 编排的临时无服务器容器中执行用户提供的逻辑。从安全角度来看，这意味着您的代码会在 UiPath 云环境中以一定的权限运行——具体而言，它在您组织的上下文下运行，并携带一个限定在您的组织/用户范围内、用于回调 UiPath 服务的身份验证令牌（持有者令牌）。主要影响在于，您运行的任何代码都会天然地被授予对该持有者令牌以及可能的其他环境变量的信任权限。如果您运行恶意或未经验证的代码，它可能会窃取该持有者令牌或其他敏感信息，并执行未经授权的操作。绝不可在 CodedServers/CommandServers 中使用不受信任的代码，因为其可能会外泄数据或滥用所授予的权限。即便是出于善意编写的代码，也可能存在漏洞，攻击者可以利用这些漏洞获取访问权限。此外，这些容器可能能够访问某些环境变量（用于配置、凭据等），这些都应被视为敏感暴露面——恶意代码可以在内存中读取它们。

总而言之，运行自定义代码或命令意味着您需要自行承担该代码行为所带来的风险。仅应部署高度可信且经过审查的代码，并且应遵循安全编码实践。

除上述特定组件外，MCP 的使用还引入了共享责任模型：UiPath 提供平台安全保障（隔离的执行容器、静态数据加密、网络防护以及云平台的合规认证），但您需负责所连接的任何外部系统及所运行内容的安全。以下各节概述了帮助您履行自身责任的最佳实践。

为安全地使用 MCP 集成并满足合规要求，请实施以下最佳实践。

强烈建议不要将敏感机密信息（API 机密信息、令牌、凭据）直接存储在 RemoteServer 配置中。尽管平台会在静态时对机密信息标头值进行加密，并在 UI 中对其进行掩码显示，但我们仍不推荐这种做法。配置中的机密信息仍可能出现在日志中或被意外暴露，而且除指定的机密信息标头外，其他字段均不会被加密。不要在 URL、查询参数或请求正文等字段中以明文形式存放敏感数据。

Use Orchestrator Assets of type “Secret” to manage sensitive keys, and reference them in your RemoteServer headers.

例如：

这样，机密信息就不会以明文形式存储在 RemoteServer 设置中——而是安全地保存在资产保险库中。UI 只会显示掩码占位符。这种做法有助于避免机密信息的意外暴露，并符合不将凭据硬编码的原则。

总结来说：不要在您的智能体代码和配置中存放机密信息。将其集中存放在安全存储中。定期轮换 API 密钥，切勿将机密信息直接嵌入代码或 HTTP 请求中。

在配置 RemoteServers 时，仅连接到受信任的外部端点。每个 RemoteServer 都应指向经您组织在安全、隐私和合规方面审核通过的域名或服务。将新的第三方 API 或服务视为供应商——确保其符合您的安全标准（例如具备适当的认证、采用加密措施，并能妥善处理您的数据）。

对所有外部调用均使用 HTTPS。始终指定 https:// URL，以确保传输过程中的流量得到加密。对连接强制使用 TLS 1.2 或更高版本。平台默认通过 TLS 进行通信；作为客户，您应验证端点是否具有有效证书和强加密。切勿在智能体通信中使用明文 HTTP，否则可能会被拦截。

要点：将外部调用视为您 IT 环境的延伸。验证外部服务的安全性（SSL/TLS 已启用、不得使用自签名或过期证书等），并且仅在信任的情况下向其发送数据。被入侵或恶意的端点可能会窃取数据或注入有害响应，因此对外部服务器进行尽职调查至关重要。

对于 CodedServers 和 CommandServers，安全性在很大程度上取决于您运行的代码。切勿在未经充分审查的情况下运行不受信任或第三方代码。智能体容器会使用可调用 UiPath API（以及可能的其他集成）的访问令牌来执行您的代码。恶意代码可能会获取该持有者令牌或环境中的其他机密信息并将其外泄，或通过平台 API 执行破坏性操作。它还可能尝试利用容器运行时漏洞，尽管 UiPath 的无服务器容器是隔离运行的，且默认不以提升的权限执行。

为减轻这些风险：

总而言之，应将智能体的代码执行环境视为拥有敏感访问权限的生产服务器：仅运行受信任的代码，遵循安全编码实践，并进行安全测试。UiPath 的平台提供了安全的沙箱，并确保代码在您的账户上下文下运行，但不会在细粒度层面对代码逻辑进行检查或沙箱隔离——这一责任由您承担。

除非绝对必要，否则避免将敏感数据发送到外部工具。任何从 UiPath 平台发送至外部 API 或服务的数据，都应被视为存在泄露风险。如可能，在将数据发送至 RemoteServer 之前，对个人数据或受监管信息进行掩码或脱敏处理。例如，如果智能体通过外部 AI API 对客户数据进行摘要处理，应考虑在提示中移除标识符或对其进行匿名化。这种数据最小化做法可确保符合隐私法规（GDPR、HIPAA 等）的要求，因为系统不会将受保护的数据暴露给可能不受相关协议约束的系统。

如果必须发送敏感信息，请确保外部提供方通过合同形式作出数据保护承诺（例如数据不会被存储或用于其他用途）。验证外部服务的数据驻留位置——如果未事先评估，将数据发送至其他地区的端点可能会违反您公司的政策。始终确保您对外部端点的使用符合您组织的合规要求（例如确保第三方服务具备 SOC 2、ISO 27001 或与您所在行业相关的其他认证）。

在 UiPath 平台内，平台会在可能的范围内记录所有智能体活动，包括工具的使用情况以及传递给工具的数据。利用这些日志，确保不会发送任何非预期的数据。定期审查您的智能体正在处理和向外部发送的信息。例如，如果您发现某个智能体在向 RemoteServer 发出请求时包含社会保障号码，应考虑修改智能体的逻辑，对此类数据进行哈希处理或将其移除。

如果您使用 Coded/Command MCP 服务器，日志记录由您负责。切勿记录诸如 PII 或安全信息等敏感数据。

同时，也要注意来自外部服务的输出数据。外部 AI 或脚本可能会返回敏感信息（甚至恶意内容）。在可行的情况下，对输出结果进行验证。例如，如果 RemoteServer 返回的响应将用于决策，应确保该响应符合预期的格式和范围。这有助于防止外部系统的操纵行为或意外行为。

简而言之，应将外部集成视为您合规数据流图的一部分——记录哪些数据正在通过哪项服务离开平台。这将有助于开展风险评估和审核。始终优先仅共享完成任务所需的最少信息（数据的知情必需原则）

配置和使用 MCP 集成的访问权限本身应受到严格控制。仅管理员或高度受信任的用户才能够创建或修改 RemoteServers、CodedServers 或 CommandServers 的配置。利用 Orchestrator 基于角色的访问控制 (RBAC) 来限制这些权限。例如，您可以设立一个专门的“智能体集成管理员”角色，并仅将其分配给卓越中心或 IT 安全团队的成员。这可以防止普通自动化开发人员或业务用户无意中添加不安全的连接或执行任意代码。每个新增的 MCP 服务器或智能体工具都应经过审查流程。

在分配角色和权限时，应贯彻最小权限原则。定义范围严格受限的角色，以确保用户只能执行其工作所必需的操作。例如，如果某个智能体只需要读取特定数据或执行特定流程，应确保运行该智能体的账户不具备对其他数据或管理功能的更广泛访问权限。避免在具有 Orchestrator 完全管理员权限的账户下运行智能体。应改用具备最小权限的专用服务账户。这样，即使智能体的令牌被泄露，潜在损害也仅会限于该账户的权限范围。

监控智能体的执行日志。以一致方式跟踪和记录智能体对所有工具的使用情况。通过审查这些日志，您可以发现异常情况（例如智能体调用其通常不会调用的端点，或在异常时间运行）。

明智的做法是定期对 MCP 服务配置进行合规检查：导出所有已配置 RemoteServers 的列表并验证其是否在批准名单内；检查任何描述或字段是否暴露了凭据；验证所有 Coded/Command 服务器是否均对应已通过安全审查的代码。建立这些“智能体工具”的清单，类似于 IT 资产清单。

最后，确保您的事件响应计划涵盖 MCP 服务相关场景。例如，如果外部端点遭到入侵或 API 密钥泄露，应制定流程以便迅速停用该 RemoteServer 或轮换凭据。由于 UiPath 将成为您企业集成环境的一部分，您的安全团队应了解这些集成与执行能力，并在威胁建模和应急演练中将相关风险场景纳入考虑。

通过控制访问、监控活动并及时调查任何异常情况，您履行了共享责任模型中属于您一方的责任——确保在符合安全和合规要求的前提下利用平台强大的能力。

使用 MCP 涉及 UiPath 和客户之间的共享责任模型。 下表总结了哪些安全方面由 UiPath 平台负责，哪些由客户负责：

表格 1. UiPath 与客户责任

这种职责划分与通用 Cloud 共享职责模型相一致：UiPath 会保护平台，您必须保护平台及其任何扩展的使用方式。确保您的内部策略涵盖 MCP 的使用，例如，所有第三方集成都必须经过安全批准、所有自定义智能体代码都必须经过安全审核等策略。 通过履行这些责任，您可以确保 MCP 服务的实施始终符合组织的安全标准。

建议的免责声明：当使用 MCP 服务和 MCP 通过外部代码或服务扩展 UiPath 时，客户将独自负责保护、管理和维护这些外部组件以及由它们处理的任何数据。 UiPath 可确保平台内的安全性（加密、身份验证、记录），但一旦数据离开 UiPath 平台边界，则不会控制或承担责任。在实践中，这意味着您应该以与系统的其他关键部分相同的严格程度来处理外部端点和自定义代码。 合规检查不是一次性工作，而是您在不断改进智能体和集成时需要一直承担的职责。