Checklist permessi per connettore MCP e strumenti AI
Cosa controllare prima di collegare strumenti AI: scopo, hosting, autenticazione, accesso ai dati, azioni e revoca.
14 maggio 2026
Questa checklist serve prima di collegare un connettore MCP o un'app AI a fonti di lavoro, soprattutto quando non è chiaro cosa potrà leggere o fare.
Highlight Reel
Rivedi permessi MCP prima di collegare l'AI
Documenta dati, azioni, log e revoca prima di dare accesso a strumenti e sistemi di lavoro.
La revisione deve separare accesso, azioni, log, revoca e responsabilità umana, invece di fermarsi al nome dello strumento.
In breve
Prima di collegare l'AI a Notion, Jira, Google Docs, Confluence o un repository privato, scrivi quali dati legge, quali azioni può eseguire e chi approva. È una nota di lavoro, non una promessa generica di sicurezza.
Prima di attivare un connettore MCP, chiarisci scopo, fiducia nel server, autenticazione, dati accessibili, azioni disponibili, log e procedura di revoca.
Modello copiabile
# Revisione permessi connettore MCP
## Scopo
Quale lavoro deve supportare.
## Hosting e fiducia
Chi gestisce endpoint e codice.
## Autenticazione
OAuth, token o accesso workspace.
## Dati
Cosa può leggere e cosa non deve leggere.
## Azioni
Cosa può creare, aggiornare o inviare.
## Revoca
Come togliere accesso e dove vedere i log.
Come usarlo senza creare altra burocrazia
Per ogni permesso chiedi chi lo usa, per quale compito e come si revoca. Se una risposta manca, non trasformarla in una frase rassicurante: lasciala come blocco da chiarire.
Checklist prima di inviarlo
- Tratta lettura e scrittura come rischi diversi.
- Documenta il perimetro prima del primo uso.
- Non mettere credenziali o chiave API nella conversazione AI.
- Prepara una nota ripulita per spiegare al team cosa è stato collegato.
Esempio compilato
# Revisione permessi connettore MCP
## Scopo
Permettere a un agente AI di cercare note approvate e recuperare link a conversazioni pubblicabili.
## Lettura
- Consentita: collezione approved_highlights.
- Esclusa: bozze private, token, dati account, conversazioni non revisionate.
## Scrittura
Nessuna scrittura nella prima fase. Ogni modifica resta manuale.
## Log e revoca
Log in dashboard tecnica. Revoca gestita dal responsabile del sistema collegato.
## Regola di stop
Se l'agente chiede dati fuori ambito o propone azioni di scrittura, fermare il test e rivedere permessi.Una checklist così evita la frase vaga "abbiamo collegato l'AI ai dati". Dice invece quali dati, con quale scopo, chi controlla e quando fermarsi.
Dove entra Highlight Reel
Highlight Reel non controlla i permessi del connettore. Serve dopo o prima della revisione per condividere una nota pulita con decisione, rischi e domande aperte.
Domande frequenti
Devo copiare tutto il modello ogni volta?
No. Per un connettore semplice bastano permessi, fonti e revoca. Per strumenti con azioni di scrittura aggiungi log, owner e approvazione.
Posso includere la conversazione originale?
Sì, se spiega la decisione. Non includere però token, configurazioni sensibili o schermate che mostrano accessi non necessari.
Che cosa devo togliere prima di condividere?
Togli credenziali, token, chiavi API, nomi di workspace non necessari e qualsiasi dettaglio che aiuterebbe a usare il connettore fuori dal processo approvato.