Las llamadas a herramientas MCP son un nuevo vector de salida de datos. Para 2026, los equipos de seguridad requerirán controles DLP en cada llamada de herramienta: eliminar consultas salientes, redactar patrones confidenciales en las respuestas y determinar el alcance del acceso a las herramientas por agente. Este tutorial aplica DLP al Scavio MCP.
Requisitos previos
- Código Claude más reciente
- Una clave API de Scavio
- Nodo.js 20+
- Una lista de reglas de DLP
Guia paso a paso
Paso 1: Bifurca el Scavio MCP
Envuelva el MCP ascendente con un middleware DLP.
git clone https://github.com/scavio/scavio-mcp scavio-mcp-dlp
cd scavio-mcp-dlp && npm installPaso 2: Eliminar consultas salientes
Bloquear consultas que contengan secretos o PII.
const DLP_PATTERNS = [
/\b\d{3}-\d{2}-\d{4}\b/, // SSN
/sk_live_[A-Za-z0-9]+/, // API keys
/\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\b/ // emails
];
function scrub(query) {
for (const p of DLP_PATTERNS) if (p.test(query)) throw new Error('DLP block');
return query;
}Paso 3: Redactar respuestas
Elimine los patrones coincidentes de los resultados de búsqueda antes de regresar.
function redact(text) {
for (const p of DLP_PATTERNS) text = text.replace(p, '[REDACTED]');
return text;
}Paso 4: Proxy a Scavio
Reenviar consulta eliminada, redactar respuesta.
export async function search({ query }) {
scrub(query);
const r = await fetch('https://api.scavio.dev/api/v1/search', {
method: 'POST',
headers: { 'x-api-key': process.env.SCAVIO_API_KEY, 'Content-Type': 'application/json' },
body: JSON.stringify({ query })
});
const d = await r.json();
d.organic_results = d.organic_results.map(r => ({ ...r, snippet: redact(r.snippet || '') }));
return d;
}Paso 5: Alcance por agente
Haga una lista de permitidos qué agentes pueden acceder a qué plataformas Scavio.
const SCOPE = { 'agent-sdr': ['search', 'reddit'], 'agent-legal': ['search'] };
function enforce(agentId, platform) {
if (!SCOPE[agentId]?.includes(platform)) throw new Error('scope');
}Ejemplo en Python
import os, re, requests
API_KEY = os.environ['SCAVIO_API_KEY']
DLP = [re.compile(r'\d{3}-\d{2}-\d{4}'), re.compile(r'sk_live_[A-Za-z0-9]+')]
def safe_search(query):
for p in DLP:
if p.search(query): raise ValueError('DLP block')
r = requests.post('https://api.scavio.dev/api/v1/search',
headers={'x-api-key': API_KEY}, json={'query': query})
d = r.json()
for res in d.get('organic_results', []):
for p in DLP: res['snippet'] = p.sub('[REDACTED]', res.get('snippet', ''))
return d
print(safe_search('best serp api 2026'))Ejemplo en JavaScript
const API_KEY = process.env.SCAVIO_API_KEY;
const DLP = [/\d{3}-\d{2}-\d{4}/, /sk_live_[A-Za-z0-9]+/];
export async function safeSearch(query) {
if (DLP.some(p => p.test(query))) throw new Error('DLP block');
const r = await fetch('https://api.scavio.dev/api/v1/search', {
method: 'POST',
headers: { 'x-api-key': API_KEY, 'Content-Type': 'application/json' },
body: JSON.stringify({ query })
});
const d = await r.json();
d.organic_results = (d.organic_results || []).map(x => ({ ...x, snippet: DLP.reduce((s, p) => s.replace(p, '[REDACTED]'), x.snippet || '') }));
return d;
}Salida esperada
Queries with PII/secrets blocked before hitting Scavio. Results with matching patterns redacted. Audit log shows per-agent scope enforcement.