Sicherheitsmodell
Wie VaultTools MCP Ihre Dateien schützt: Sandboxing, Isolation und vorhersagbare Verarbeitung.
Verzeichnis-Sandboxing
Jede Dateioperation wird vor der Ausfuehrung gegen die --allowed-dir-Liste geprueft. Pfade werden in ihre absolute Form kanonisiert, um Traversal-Angriffe ueber ../ oder Symlinks zu verhindern. Wenn ein aufgeloester Pfad ausserhalb aller erlaubten Verzeichnisse liegt, wird die Operation mit einem ACCESS_DENIED-Fehler abgelehnt.
Sie koennen mehrere erlaubte Verzeichnisse angeben, indem Sie das Flag wiederholen: --allowed-dir ~/Documents --allowed-dir ~/Pictures. Der Server startet nicht ohne mindestens ein erlaubtes Verzeichnis.
Ausgabe-Isolation
Wenn --output-dir gesetzt ist, werden alle Ausgabedateien in dieses Verzeichnis geschrieben statt neben die Eingabedateien. Dies trennt verarbeitete Ergebnisse von Originaldateien.
Ausgabedateien ueberschreiben niemals bestehende Dateien. Der Server haengt ein numerisches Suffix an (-1, -2, etc.), um Kollisionen zu vermeiden. Wiederholte Tool-Aufrufe sind somit immer sicher. Sie erstellen neue Dateien, anstatt bestehende Daten zu zerstoeren.
Fehler-Bereinigung
Fehlermeldungen, die an das KI-Modell zurueckgegeben werden, werden auf 500 Zeichen gekuerzt. Dies verhindert versehentliche Weitergabe von Dateiinhalten durch ausfuehrliche Fehlermeldungen (z. B. ein JSON-Parse-Fehler, der einen Ausschnitt der Datei enthaelt).
Fehler enthalten genug Information, damit die KI es erneut versuchen oder das Problem melden kann, beinhalten aber niemals rohe Dateidaten.
Zustandslose Verarbeitung
Jeder Tool-Aufruf ist voellig unabhaengig. Der Server speichert keinen Zustand zwischen Aufrufen: keine Caches, keine Sitzungsdaten, keine temporaeren Dateien. Jede Ausfuehrung liest von der Festplatte, verarbeitet im Speicher und schreibt zurueck auf die Festplatte.
Tool-Aufrufe sind somit idempotent: Der gleiche Aufruf mit den gleichen Eingaben erzeugt immer die gleiche Ausgabe (abgesehen von Kollisionsvermeidungs-Suffixen bei Ausgabedateinamen).
Keine Telemetrie
Der Server macht keine Netzwerkanfragen. Es gibt keine Analytics, keine Absturzberichte, keine Update-Pruefungen und kein Phone-Home-Verhalten. Kommunikation erfolgt ausschliesslich ueber stdio (stdin/stdout) mit dem MCP-Client.
Logs werden auf stderr geschrieben (nicht stdout, das fuer MCP JSON-RPC reserviert ist) und sind standardmaessig deaktiviert. Aktivieren Sie sie mit --verbose zum Debuggen.
Hash-Verifizierung
Die Tools vaulttools_file_checksum und vaulttools_dev_hash ermoeglichen die Verifizierung der Ausgabe-Integritaet. Nach jeder Dateitransformation berechnen Sie eine Pruefsumme der Ausgabe, um zu bestaetigen, dass sie den Erwartungen entspricht.
Verfuegbare Algorithmen: MD5, SHA-1, SHA-256, SHA-512. Pruefsummen werden lokal berechnet und als Metadaten zurueckgegeben. Der Dateiinhalt wird niemals in die Antwort einbezogen.
Pfad-basierte E/A
Dies ist das grundlegende Designprinzip. Der KI-Agent sendet Dateipfade als Eingabe. Der Server liest die Dateien, verarbeitet sie, schreibt die Ausgabe und gibt nur Metadaten zurueck (Ausgabepfad, Dateigroesse, Dimensionen, Pruefsummen, etc.).
Datei-Bytes erscheinen nie in der MCP-Antwort. Ihre Dateien gelangen nicht in das Kontextfenster des KI-Modells, werden an keine Remote-API gesendet und sind nicht im Konversationsverlauf enthalten.
Ausnahme: Einige reine Metadaten-Tools geben kleine strukturierte Daten zurueck: EXIF-Tags, Farbpaletten-Hex-Codes, Wortzaehlungen, Pruefsummen-Hashes. Dies sind Metadaten, keine Dateiinhalte.