# 策展 · X (Twitter) 🔥🔥🔥🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：OpenAI Developers (@OpenAIDevs) · 平台：X (Twitter) · 日期：2026-05-28

> 原始來源：https://x.com/OpenAIDevs/status/2059703536825565499

## 中文摘要

OpenAI 推出多項企業安全管理功能，旨在強化企業私有 MCP Server 的整合與管理。

**安全 MCP 隧道（Secure MCP Tunnel）**
OpenAI 推出了「安全 MCP 隧道」，讓企業能在不開放防火牆入站連接埠或將伺服器暴露於公用網路的情況下，將私有的 MCP 伺服器與 OpenAI 產品整合。
- **運作機制**：使用者需在內部網路執行 `tunnel-client`，該程式會透過僅限出站的 HTTPS 連線與 OpenAI 進行長輪詢（long-polling），將 MCP 請求轉發至本地伺服器，並將回應回傳。
- **部署方式**：支援 Kubernetes Sidecar、獨立部署或虛擬機等模式，只要該主機位於可存取私有 MCP 伺服器的信任邊界內即可。
- **設定步驟**：
    1. 前往 [OpenAI 平台隧道設定](https://platform.openai.com/settings/organization/tunnels) 取得 `tunnel_id`。
    2. 準備具備「讀取」與「使用」權限的 API 金鑰，若需編輯隧道元資料則需「管理」權限。
    3. 執行初始化與啟動指令：
    ```bash
    export CONTROL_PLANE_API_KEY="sk-..."

    tunnel-client init \
      --sample sample_mcp_stdio_local \
      --profile local-stdio \
      --tunnel-id tunnel_0123456789abcdef0123456789abcdef \
      --mcp-command "python /path/to/server.py"

    tunnel-client doctor --profile local-stdio --explain
    tunnel-client run --profile local-stdio
    ```
- **進階功能**：包含名為「Harpoon」的內嵌 MCP 伺服器，可針對特定標籤的 HTTP 目標進行受限的呼叫，避免將整個網路暴露於代理服務中。

**工作負載身分聯合（Workload Identity Federation）**
此功能允許受信任的工作負載將外部發行的身分 token 交換為短效的 OpenAI 存取 token，從而減少長期 API 金鑰的分發需求。
- **核心組件**：包含工作負載身分提供者（Workload Identity Provider）、服務帳號映射（Service Account Mapping）以及 token 交換機制。
- **配置與轉換**：支援 OIDC 相容的 JWT，透過設定工作負載身分提供者來描述信任的發行者，並建立服務帳號映射以授權特定的外部 token 屬性來取得 OpenAI 存取權。
- **安全性建議**：建議為每個應用程式建立專屬的服務帳號，並確保僅授權必要的存取權限，同時透過組織擁有者權限進行配置管理。

**管理 API（Admin APIs）擴充**
OpenAI 擴充了管理 API，協助企業以程式化方式自動化組織管理流程，減少對儀表板的依賴。
- **新增功能**：
    - **專案模型權限**：可設定模型白名單，控制專案可使用的模型。
    - **支出警示**：針對專案設定支出門檻，當達到指定金額時發出通知。
    - **資料保留控制**：可覆蓋或繼承組織層級的資料保留政策。
    - **工具控制**：新增對檔案搜尋（file search）與網頁搜尋（web search）等功能的細粒度成本可視性控制。
- **使用方式**：開發者可透過官方 API 文件中的指引，利用程式化方式管理專案設定，無需依賴特定的環境變數名稱，僅需確保 API 金鑰具備對應的管理權限即可呼叫。

這些更新顯示 OpenAI 正積極補足企業級應用所需的基礎設施，特別是在網路隔離、身分驗證與治理自動化方面，旨在讓企業能更安全地將內部工具與 Agent 整合。

## 標籤

MCP, 功能更新, 資安, OpenAI, ChatGPT