MCP sunucusu kullanıcıları, OAuth kimlik doğrulaması之后 API çağrılarının rate limitlenmesi sorunuyla karşılaşabilirler. Sentry MCP kullanıcısı, 18 Mart'ta bu sorunu bildirdi: "Tüm API çağrıları, kimlik doğrulamasından birkaç dakika sonra rate limitleniyor." OAuth el sıkışması çalışıyor, ancak kimlik doğrulaması之后 yapılan çağrılar, paid backend'i máyın hızında çalıştırıyor ve bütçeyi szybca tüketiyor.
OAuth Yanlış Soruya Cevap Veriyor
MCP standardı, kimlik doğrulaması için OAuth 2.1'i kabul etti. Bu, "bu çağırıcı benimle konuşmaya izinli mi?" sorusuna cevap veriyor. Ancak "ne sıklıkla, ne hızda, her çağrıda ne kadar?" sorusuna sessiz kalıyor. Sentry MCP sorunu #844, canonical bir örnektir. Bir kullanıcı, Sentry MCP sunucusuna karşı Cursor Otomasyonları çalıştırıyor, 60 saniye içinde 60 istek đang gönderiliyor ve sonraki tüm çağrılar rate limit hataları döndürüyor. Token geçerli, ancak kapsamları token'in işi değil.
Eksik Katman: Çağrı Başına Sürtünme
İki tür sürtünme, ajan-sunucu yolu için çalışır:
- Hesaplama: Çağırıcı, her çağrı için bir proof-of-work puzzle harcar. bedava dolar, saniye maliyeti var. Çılgın bir döngüyü sınırlar, kimseyi fatura etmeden.
- Sats: Çağırıcı, her çağrı için bir Lightning faturası öder. Her çağrı için birkaç sats, iki saniye içinde çözülür, hesap gerekmez, kredi kartı gerekmez.
Her iki sürtünme de çılgın bir döngüyü yavaşlatır. Her iki sürtünme de otonom ajanlar için çalışır, çünkü ikisi de bir e-posta adresi veya onay bağlantısı gerektirmez. Ajan sadece sahip olduğu bir şeyi harcar, sonra devam eder.
5 Satırlık Çözüm
npm install @powforge/captcha-mcp
{ "mcpSunucuları": { "captcha": { "komut": "npx", "argümanlar": ["-y", "@powforge/captcha-mcp"] } } }
Bu, MCP standardında eksik olan katmandır ve 47.000 dolarlık faturanın durdurulduğu yer burasıdır.
Nasıl Çalışır
Ajan, challenge çağrısı yapar. Sunucu, {id, salt, zorluk, imza} döndürür. Varsayılan zorluk, 14 önden sıfır biti SHA-256'dir, bu da ajana normal bir kutuda 5-10 saniye CPU maliyeti sağlar.
Ajan, saniyeleri harcamak istemezse, L402 yolunu ister. Sunucu, standart WWW-Authenticate başlığında bir bolt11 faturası döndürür. Ajan, faturayı herhangi bir Lightning cüzdanından öder, bir ödeme karması alır ve bunu verifyye bir proof-of-work nonce yerine gönderir.
Her iki yol da aynı şekli döndürür: 5 dakikalık HMAC imzalı token. Backend'iniz, captcha hizmetine karşı POST /api/token/verify çağrısı yapar, {valid: true, method, issued_at, expires_at} veya {valid: false, reason} alır ve devam eder.
Maliyet dengesi, işin çalışmasını sağlar. Proof-of-work, dolar olarak bedava, ancak çağrı sayısını sınırlar. Lightning, 3 sats/call'dir, ancak hızlı bir şekilde çözülür. Bir insan çağırıcı, proof-of-work'ü bir kez çözer ve devam eder. Bir çılgın ajan,compute veya sats'te tıkanır. Her iki durumda da, API bütçenizi durdurursunuz.
MCP sunucunuzu rate limitlerden korumak için 5 satırlık bir çözüm var. Sentry MCP kullanıcısı, API çağrılarının birkaç dakika içinde rate limitlendiğini bildirdi.
Yapay zeka özeti
MCP sunucunuzu rate limitlerden korumak için 5 satırlık bir çözüm var. Sentry MCP kullanıcısı, API çağrılarının birkaç dakika içinde rate limitlendiğini bildirdi.
