深色模式
MCP 读写分级与 Scoped Token
CrossPilot 把 AI 能做的事分成两级——只读放行、写操作审批——并用 Scoped Token 限定每个 AI 客户端的权限边界。
为什么要分级
把店铺数据能力交给 AI,最怕两件事:
- AI 读得太多——不该看的经营机密、买家 PII 也被拿走
- AI 写得太狠——一句话把广告改崩、把 Listing 改错
读写分级就是对这两件事分别设闸。
只读能力:按 scope 放行
| 特点 | 说明 |
|---|---|
| 直接放行 | 在 Token scope 范围内的只读能力,AI 可直接调用 |
| 无凭据 | 返回数据不含 SP-API 令牌 / LLM Key |
| 脱敏 | 涉及买家 PII 的字段脱敏 |
写操作:强制审批闭环
核心
即使 Token 被授予了写权限,写操作也不会直接落到 Amazon。
AI 发起写请求(改价 / 否词 / 应用 Listing)
↓
生成变更计划(不落地)
↓
模拟 + 阈值 + 每日上限校验
↓
人工审批
↓
执行 → 审计(可回滚)这套闭环与 PPC 广告优化 用的是同一套护栏。
Scoped Token
| 操作 | 说明 |
|---|---|
| 签发 | 为每个客户端签发独立 Token,限定能力范围(scope) |
| 最小授权 | 只给必要能力,比如「只给只读查询」 |
| 吊销 | 一键吊销,立即失效;换设备 / 疑似泄漏时用 |
| 一次性展示 | Token 生成时只显示一次,请立即保存 |
审计计数
- 每次 MCP 调用计数留痕
- 可按能力 / 按 Token 查调用量
- 异常调用(频次陡增、越权尝试)可被发现
能看、能查、能拦、能撤
| 能力 | 机制 |
|---|---|
| 能看 | AI 只读放行,看得到该看的数据 |
| 能查 | 审计计数,所有调用可追溯 |
| 能拦 | 写操作走审批,危险改动拦得下 |
| 能撤 | Token 可吊销、变更可回滚 |
相关章节
- MCP 能力网关 — 功能页
- 接入第一个 AI 客户端 — 接入步骤
- 合规护栏 — 为什么写操作必须人来拍板