Pinterest đã xây dựng hệ sinh thái MCP production cho các AI agent như thế nào

• Pinterest đã áp dụng MCP làm tiêu chuẩn kết nối công cụ cho AI agent và tích hợp ở mức production vào các quy trình kỹ thuật thực tế như IDE, chat nội bộ và AI agent
• Thay vì một máy chủ monolithic duy nhất, họ chọn kiến trúc kết hợp nhiều máy chủ MCP theo từng domain (Presto, Spark, Airflow, v.v.) với một registry trung tâm
• Áp dụng nguyên tắc đặc quyền tối thiểu cho dữ liệu nhạy cảm bằng lớp xác thực kép end-user JWT + danh tính mesh SPIFFE cùng kiểm soát truy cập dựa trên nhóm nghiệp vụ
• Đạt được kết quả định lượng gồm 66.000 lượt gọi mỗi tháng, 844 người dùng hoạt động hàng tháng, và ước tính tiết kiệm 7.000 giờ mỗi tháng
• Yếu tố cốt lõi giúp MCP trở thành hạ tầng năng suất kỹ sư chứ không chỉ là thử nghiệm là thiết kế ưu tiên bảo mật, pipeline triển khai hợp nhất và tích hợp trực tiếp vào các công cụ mà nhân viên đã sử dụng

Bối cảnh triển khai MCP

• Model Context Protocol (MCP) là một tiêu chuẩn mã nguồn mở sử dụng giao thức client-server thống nhất khi LLM giao tiếp với công cụ và nguồn dữ liệu, thay vì phải triển khai tích hợp riêng cho từng mô hình hoặc từng công cụ
• Pinterest sử dụng MCP không chỉ cho hỏi đáp đơn thuần mà làm nền tảng cho tự động hóa công việc kỹ thuật — từ “đọc log và tìm ra vấn đề” đến “phân tích ticket bug và đề xuất PR sửa lỗi”

Thiết kế kiến trúc ban đầu

Hosting trên cloud thay vì local

• Dù cũng hỗ trợ mô hình máy chủ MCP local (giao tiếp qua stdio), Pinterest chọn máy chủ MCP được host trên cloud nội bộ làm lộ trình mặc định (paved path)
  • Mục tiêu là vận hành trong môi trường dễ áp dụng logic routing và bảo mật nội bộ
  • Máy chủ local chỉ được cho phép phục vụ mục đích thử nghiệm

Nhiều máy chủ nhỏ so với một máy chủ monolithic

• Thay vì một máy chủ khổng lồ duy nhất, họ chọn nhiều máy chủ MCP nhỏ theo từng domain
  • Có thể áp dụng kiểm soát truy cập khác nhau cho từng máy chủ
  • Tránh việc context của mô hình bị lấp đầy bởi thông tin không cần thiết
• Phản hồi ban đầu: việc dựng một máy chủ MCP mới đòi hỏi quá nhiều công việc chuẩn bị trước như pipeline triển khai, cấu hình dịch vụ và thiết lập vận hành
  • Giải pháp là xây dựng pipeline triển khai hợp nhất — các nhóm chỉ cần định nghĩa logic công cụ, còn nền tảng sẽ tự xử lý triển khai và scale

Registry MCP nội bộ

• Là nguồn chân lý duy nhất (source of truth) để quản lý danh sách máy chủ MCP đã được phê duyệt và cách kết nối tới chúng
• Web UI: để con người khám phá máy chủ, xem đội ngũ sở hữu, kênh hỗ trợ, tư thế bảo mật, trạng thái live và các công cụ khả dụng
• API: được các AI client (chat AI nội bộ, tích hợp IDE, agent) dùng để khám phá/xác minh máy chủ và quyết định “người dùng này có được dùng máy chủ X hay không”
• Chỉ những máy chủ được đăng ký trong registry mới được công nhận là máy chủ đã được phê duyệt cho production — đóng vai trò xương sống quản trị

Tình hình các máy chủ MCP đang vận hành

Các máy chủ chính (theo mức sử dụng)

• Máy chủ Presto MCP: máy chủ được sử dụng nhiều nhất theo lưu lượng — agent (bao gồm IDE có hỗ trợ AI) có thể truy vấn dữ liệu dựa trên Presto theo nhu cầu để dùng trực tiếp trong workflow mà không cần chuyển sang dashboard khác
• Máy chủ Spark MCP: nền tảng cho trải nghiệm debug Spark bằng AI — hỗ trợ chẩn đoán lỗi job Spark, tóm tắt log và ghi lại phân tích nguyên nhân gốc có cấu trúc, biến các thread vận hành thành tri thức có thể tái sử dụng
• Máy chủ Knowledge MCP: endpoint tri thức dùng chung — bot AI nội bộ sử dụng cho tri thức công ty, hỏi đáp, tài liệu và các câu hỏi debug

Tích hợp với các dịch vụ nội bộ của Pinterest

• Tích hợp công cụ MCP vào giao diện web chat LLM nội bộ mà nhiều nhân viên Pinterest dùng hằng ngày
  • Frontend tự động xử lý luồng OAuth rồi trả về danh sách công cụ mà người dùng hiện tại được phép dùng
  • AI chat agent gắn trực tiếp các công cụ MCP vào bộ công cụ của agent, tạo trải nghiệm giống hệt gọi công cụ thông thường
• Bot AI trên nền tảng chat nội bộ cũng được tích hợp công cụ MCP
  • Xử lý xác thực và phân quyền thông qua registry API
  • Hỗ trợ giới hạn một số công cụ MCP vào những kênh cụ thể (ví dụ: công cụ Spark MCP chỉ có thể dùng trong kênh hỗ trợ Airflow)

Bảo mật, quản trị và chính sách

Tiêu chuẩn bảo mật MCP

• Pinterest định nghĩa riêng MCP Security Standard — mọi máy chủ MCP không phải để thử nghiệm đều bắt buộc phải có đội sở hữu được chỉ định, được đăng ký trong registry nội bộ và được phê duyệt ticket rà soát bảo mật/pháp lý/quyền riêng tư/(nếu áp dụng) GenAI
• Dựa trên kết quả rà soát, các chính sách bảo mật như nhóm người dùng nào được truy cập máy chủ sẽ được quyết định

Hai lớp xác thực (AuthN) và phân quyền (AuthZ)

• Luồng dựa trên end-user JWT

  1. Người dùng tương tác qua các bề mặt như chat AI, plugin IDE, bot AI, v.v.
  2. Client thực hiện luồng OAuth với stack xác thực nội bộ rồi chuyển JWT tới MCP registry và máy chủ đích
  3. Envoy xác minh JWT, ánh xạ các header X-Forwarded-User, X-Forwarded-Groups, và áp dụng chính sách bảo mật ở mức thô
  4. Bên trong máy chủ, decorator @authorize_tool(policy='…') được dùng để kiểm soát quyền chi tiết (ví dụ: get_revenue_metrics chỉ cho nhóm Ads-eng gọi)

• Chặn truy cập dựa trên nhóm nghiệp vụ

  • Thay vì cho phép truy cập hàng loạt với toàn bộ nhân viên và nhà thầu Pinterest đã được xác thực, các máy chủ nhạy cảm sẽ trích xuất thông tin thành viên nhóm nghiệp vụ từ JWT rồi kiểm tra xem người dùng có thuộc nhóm được phê duyệt hay không
  • Máy chủ Presto MCP tuy về mặt kỹ thuật có thể được truy cập từ nhiều bề mặt, nhưng chỉ các nhóm được phê duyệt như Ads, Finance và một số đội hạ tầng nhất định mới có thể thiết lập phiên và thực thi công cụ đặc quyền cao

• Luồng dành riêng cho dịch vụ dựa trên SPIFFE

  • Trong các kịch bản rủi ro thấp, chỉ đọc, hệ thống chỉ dùng xác thực dựa trên SPIFFE (danh tính mesh)
  • Chỉ áp dụng khi không có end user trong vòng lặp và phạm vi ảnh hưởng được giới hạn nghiêm ngặt

Khác biệt so với tiêu chuẩn OAuth của MCP

• Đặc tả chính thức của MCP định nghĩa luồng xác thực OAuth 2.0 theo từng máy chủ (màn hình consent, quản lý token riêng theo máy chủ), nhưng Pinterest chọn cách tái sử dụng session hiện có
  • Khi người dùng mở các bề mặt như chat AI, họ đã hoàn tất xác thực với stack nội bộ — không cần thêm lời nhắc đăng nhập hay hộp thoại consent
  • Envoy và các policy decorator sẽ xử lý phân quyền một cách minh bạch ở nền sau

Human-in-the-Loop

• Vì máy chủ MCP có thể cho phép các hành động tự động hóa nên phạm vi ảnh hưởng lớn hơn thao tác thủ công
• Theo hướng dẫn dành cho agent, các hành động nhạy cảm hoặc tốn kém đều bắt buộc phải có phê duyệt của con người trước khi thực hiện — agent đề xuất hành động, còn con người sẽ phê duyệt hoặc từ chối (cũng có thể xử lý hàng loạt)
• Sử dụng elicitation để yêu cầu xác nhận trước các hành động rủi ro (ví dụ: ghi đè dữ liệu bảng)

Quan sát vận hành và chỉ số kết quả

• Tất cả máy chủ MCP đều áp dụng hàm thư viện — cung cấp sẵn logging đầu vào/đầu ra, số lượt gọi, theo dõi ngoại lệ và telemetry
• Các chỉ số đo ở cấp hệ sinh thái gồm: số lượng máy chủ và công cụ MCP đã đăng ký, tổng số lượt gọi máy chủ, thời gian ước tính tiết kiệm trên mỗi lượt gọi (do chủ sở hữu máy chủ ước tính dựa trên phản hồi nhẹ từ người dùng và so sánh với workflow thủ công trước đó)
• Một chỉ số sao Bắc Cực duy nhất: thời gian tiết kiệm được (time saved) — số lượt gọi × số phút tiết kiệm mỗi lượt để ước tính tác động tổng thể
• 66.000 lượt gọi mỗi tháng, 844 người dùng hoạt động hàng tháng, và ước tính tiết kiệm 7.000 giờ mỗi tháng