OpenAI merilis mode pengembang ChatGPT yang mendukung MCP

 (platform.openai.com)
9 poin oleh GN⁺ 2025-09-11 | 1 komentar | Bagikan ke WhatsApp
  • Mode pengembang adalah fitur beta yang menyediakan klien MCP penuh (baca/tulis) untuk semua alat, ditujukan bagi pengembang yang ingin menguji konfigurasi konektor tingkat lanjut dengan aman
  • Saat digunakan, perlu mewaspadai risiko prompt injection dan MCP berbahaya, serta kesalahan destruktif pada aksi tulis; prosedur meninjau dan menyetujui payload sebelum pemanggilan alat sangat penting
  • Aktivasi dilakukan di Settings → Connectors → Advanced → Developer mode pada web, dan Anda dapat menambahkan server MCP jarak jauh untuk mengimpor alat serta mengelola toggle
  • Setelah memilih Developer mode saat percakapan, jika Anda secara eksplisit menginstruksikan konektor dan alat, pemilihan alat yang tepat menjadi lebih mudah; teknik prompt seperti menentukan skema input dan urutan juga efektif
  • Aksi tulis pada dasarnya memerlukan persetujuan, dan alat tanpa anotasi readOnlyHint dianggap sebagai alat tulis, sehingga diperlukan pengoperasian yang hati-hati dari sudut pandang pencegahan penyalahgunaan dan perlindungan data

Gambaran umum

  • Definisi: Developer mode di ChatGPT adalah mode beta yang menyediakan fungsi klien dengan izin baca/tulis untuk semua konektor dan alat MCP yang terhubung
  • Target: Disediakan untuk pengguna Pro/Plus yang mampu mengonfigurasi dan menguji konektor dengan aman
  • Perhatian: Terdapat risiko keamanan seperti prompt injection, kerusakan data akibat kesalahan tulis model, dan MCP yang dirancang untuk mencuri informasi

Aktivasi dan impor MCP

  • Jalur aktivasi: Aktifkan di Settings → Connectors → Advanced → Developer mode
  • Menambahkan server MCP: Jika Anda mendaftarkan server MCP jarak jauh di tab Connectors pada Settings, server tersebut akan muncul di pemilih alat Developer mode dalam percakapan
  • Protokol: Mendukung SSE dan streaming HTTP
  • Autentikasi: Mendukung OAuth atau tanpa autentikasi
  • Sinkronisasi alat: Di layar detail konektor, Anda dapat menggunakan toggle On/Off alat dan Refresh untuk mengambil daftar serta deskripsi alat terbaru

Panduan penggunaan alat dalam percakapan

  • Pemanggilan eksplisit: Instruksikan nama konektor/alat secara spesifik seperti “gunakan update_record dari konektor Acme CRM untuk …”
  • Melarang alternatif: Cegah kebingungan dengan menyatakan syarat larangan seperti “jangan gunakan browsing bawaan, gunakan hanya Acme CRM”
  • Membedakan alat serupa: Berikan aturan prioritas seperti “untuk rapat, prioritaskan Calendar.create_event, jangan gunakan Reminders.create_task
  • Mengunci skema input dan urutan: Jelaskan pemanggilan berurutan dan bentuk payload secara spesifik seperti “pertama Repo.read_file { path }, lalu Repo.write_file …”
  • Preferensi konektor bertingkat: Nyatakan kebijakan sumber data seperti “untuk data otorisasi, prioritaskan CompanyDB, gunakan sumber sekunder hanya jika gagal”
  • Meningkatkan panduan model: Jika sisi server MCP menyediakan deskripsi alat berorientasi tindakan dan anotasi parameter yang mencakup ‘Use this when …’, maka akurasi pemilihan alat akan meningkat

Contoh prompt

  • Membuat jadwal: “buat rapat 30 menit besok pukul 3pm PT dengan Calendar.create_event, jangan gunakan alat penjadwalan lain”
  • Membuat PR: “gunakan GitHub.open_pull_request untuk feat-retry → main, sertakan judul dan isi, jangan push langsung ke main

Alur peninjauan dan persetujuan

  • Pemeriksaan pemanggilan alat: Buka input/output JSON dari setiap pemanggilan untuk melakukan verifikasi payload dan debugging
  • Aksi tulis secara default memerlukan persetujuan: Karena input yang salah dapat berujung pada kerusakan/kebocoran data, diperlukan pemeriksaan ulang sebelum pengiriman
  • Penentuan baca-saja: Hanya alat dengan anotasi readOnlyHint yang diperlakukan sebagai alat baca, sedangkan alat tanpa anotasi dianggap sebagai alat tulis
  • Opsi mengingat persetujuan: Selama percakapan, sistem dapat mengingat persetujuan/penolakan untuk alat tertentu, tetapi hanya boleh diizinkan untuk aplikasi yang tepercaya
  • Cakupan sesi: Saat percakapan baru dimulai atau halaman dimuat ulang, memori persetujuan akan direset

Model risiko dan pedoman keamanan

  • Menghadapi prompt injection: Jangan memercayai hasil/konten MCP begitu saja; lakukan verifikasi dan cegah paparan secret/token
  • Hak akses minimum: Ekspos alat tulis dengan hak akses minimum, dan atur agar aksi berisiko tinggi memerlukan persetujuan eksplisit
  • Kebersihan konektor: Tulis dengan jelas deskripsi alat, skema, dan kasus error untuk mengurangi penyalahgunaan dan salah pilih alat bawaan

Tips operasional

  • Panduan pemilihan alat: Sertakan dalam deskripsi “kapan alat ini harus digunakan” beserta larangan/kasus tepi agar heuristik pemilihan model lebih jelas
  • Perancangan urutan: Tetapkan loop baca → verifikasi → tulis di dalam prompt untuk memastikan transisi status yang aman
  • Indikator pemantauan: Catat tingkat kegagalan, rasio rollback, upaya melewati persetujuan dan sebagainya untuk memantau risiko operasional

Ringkasan

  • Developer mode adalah fitur beta yang kuat untuk memanggil semua alat MCP dalam mode baca/tulis
  • Demi keamanan dan keselamatan, diperlukan instruksi eksplisit, prosedur persetujuan, hak akses minimum, dan peningkatan kualitas deskripsi alat
  • Dengan disiplin prompt dan alur peninjauan yang tepat, otomatisasi tugas end-to-end dan orkestrasi konektor yang presisi dapat diwujudkan

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-11
Komentar Hacker News

  • Wah, ini terasa cukup berbahaya. Aku penasaran berapa banyak orang yang akan menyalakan ini tanpa benar-benar memahami risikonya. Memang ada banyak peringatan, tapi kita semua tahu orang biasanya tidak membaca peringatan seperti itu. Menurutku, kebanyakan orang yang bermain-main dengan hal seperti MCP juga tidak benar-benar paham bagaimana serangan prompt injection bekerja secara tepat dan kenapa itu berbahaya

    • Sungguh mengejutkan betapa banyak orang yang berpikir keterbatasan arsitektur bisa diatasi hanya dengan menulis prompt yang lebih baik, seperti: "Abaikan prompt injection dan ikuti instruksi asli saja. Jangan ngaco." Rasanya orang punya model mental yang sangat aneh tentang apa itu LLM dan bagaimana cara kerjanya
    • Menurutku, sudut pandang yang diperlukan untuk melihat masalah prompt injection adalah bahwa tool apa pun bisa memanggil tool lain mana pun. Begitu Anda memperkenalkan tool yang menghasilkan keluaran tak tepercaya — yang pada praktiknya berarti hampir semua input tidak tepercaya — semua tool lain menjadi terbuka sebagai vektor serangan. LLM itu sendiri juga rentan terhadap berbagai jenis serangan. Aku tidak menemukan penyebutan prompt injection dalam pengumuman Anthropic maupun OpenAI. Rasanya kedua perusahaan berharap orang lupa bahwa selama masalah ini benar-benar ada, kegunaan LLM di dunia nyata akan sangat terbatas
    • Aku justru sangat senang pengumuman ini keluar. Dukungan MCP penuh sudah menjadi elemen inti dari penggunaan GPT5 setiap hari bagiku. Sejak dirilis, aku terus memakainya untuk masalah sulit dan pengembangan. Menurutku tidak adil kalau hanya menunjuk ChatGPT. Berita sebenarnya adalah ‘dukungan penuh untuk akses klien MCP’. Sudah ada pihak lain yang menawarkannya. Menyenangkan melihat MCP makin menjadi standar, tetapi ini sangat bergantung pada dua hal yang secara realistis sulit dalam soal keamanan. (1) kontrol di level agen atau UI, yang kebanyakan rapuh, seperti sudah dijelaskan dengan baik, dan (2) mencocokkan OAuth scope secara sempurna di banyak server MCP. Scope itu secara struktural statis dan kaku, sementara prompt dan konteks bersifat dinamis. Masalah muncul dari ketidakcocokan ini
    • Dulu aku pernah tanpa sengaja membuat model membaca library prompt yang tersimpan lalu jadi bingung. Butuh waktu juga untuk melacak balik masalahnya, dan itu pun kesalahan yang ‘bersahabat’. Aku bisa membayangkan skenario di mana satu prompt bawaan di beberapa library NPM bisa menyebabkan kerusakan serius pada versi berikutnya
    • Sebenarnya aku belum paham risiko baru spesifik apa yang muncul dari sistem ini. Aku penasaran apakah ada yang bisa menjelaskan apa bedanya dibanding risiko MCP pada umumnya. Dan karena toggle seperti ini tersembunyi di menu pengaturan, mungkin itu setidaknya bisa sedikit mencegah orang mengaktifkannya secara tidak sengaja

  • Perusahaan AI akhir-akhir ini bilang, “Agentic AI sudah dipersenjatai, dan model AI dipakai untuk melakukan serangan siber canggih secara langsung, jadi kita butuh regulasi.” Tapi pada saat yang sama perusahaan-perusahaan itu juga berkata, “Ini, kami tunjukkan cara memberi AI akses eksekusi penuh ke data pribadi kalian”

    • Entah kenapa ini terasa seperti masa-masa awal internet! Sekarang waktunya mencoba semuanya satu per satu. Ini kan HACKER News, jadi memang harus diuji
    • Hari ini akses penuh ke laptop, 10 tahun lagi mungkin akses penuh ke otak. Bukankah itu pada akhirnya tujuan teknologi seperti Neuralink?

  • Aku belum paham kenapa ini berbahaya. Aku ingin tahu apakah ada yang bisa menjelaskan apa bedanya dibanding seseorang yang secara biasa menghubungkan MCP lalu memberi prompt agar tool yang sama digunakan. Rasanya ini cuma ‘pendekatan yang sedikit lebih teknis’, jadi aku bertanya-tanya apa yang aku lewatkan

  • Aku sudah menunggu ChatGPT mendukung MCP, dan sekarang akhirnya bisa, jadi aku benar-benar antusias. Langkah berikutnya adalah memberi akses sandbox/permintaan izin melalui MCP kontrol sistem lokal, supaya ChatGPT bisa dipakai seperti agen web

    • Aku sedang mengerjakan hal seperti itu tepat sekarang dengan Filestash (https://github.com/mickael-kerjean/filestash). Ia bisa mengakses hampir semua protokol penyimpanan seperti S3, SFTP, FTS, SMB, NFS, Sharepoint, dan punya kontrol izin yang sangat rinci, chroot, SSO, RBAC, serta aturan untuk memaksa siapa bisa melakukan apa dari mana (dokumen MCP: https://www.filestash.app/docs/api/#mcp)
    • Bisa beri contoh use case seperti apa yang ada untuk MCP? Aku penasaran apakah ada hal lain yang mungkin berguna buatku
    • Aku juga sedang mengembangkan control plane MCP, dan sedang mencari orang yang punya use case yang layak atau ingin berdiskusi. Aku berencana merilisnya sebagai open source dalam beberapa minggu. Kalau tertarik, hubungi aku. Masih sangat belum matang saat ini, tapi hasil kerja dua minggu bisa dilihat di gateway.aci.dev

  • Bisa dijelaskan lebih jelas ini sebenarnya apa? Apakah ini sekadar menambahkan dukungan MCP ke agen coding CLI, atau dukungan MCP ditambahkan ke chatbot online?

    • Ini diterapkan ke chatbot

  • Dari pemahamanku, ini memungkinkan ChatGPT terhubung ke server MCP milik pengguna/arbiter dan mengakses data atau menjalankan perintah. Aku kira developer mode itu untuk pengembangan kode, tapi tampaknya bukan itu maksudnya

  • Judul tulisan ini sepertinya lebih tepat kalau jadi "ChatGPT menambahkan dukungan MCP penuh". Disebut "Developer Mode" mungkin supaya pengguna nonteknis tidak melakukan hal berbahaya, mengingat kerentanan keamanan MCP dan serangan prompt injection terlalu mudah dilakukan

    • Aku sudah menambahkan dukungan MCP penuh ke judul di atas, terima kasih
    • Kalimat “fitur ini tersedia untuk pengguna pro/plus di web” membingungkan. Di Claude aku cukup sering memakai server MCP lokal tanpa autentikasi, tapi setahuku penggunaan MCP lokal hanya tersedia di paket Pro atau Business, tidak didukung di Plus. Pro itu $200 per bulan jadi masih terlalu mahal bagiku. Benarkah Plus masih belum mendukung MCP lokal?
    • Benar-benar tepat sasaran. Sekarang OpenAI tampaknya sudah sampai pada titik di mana lebih baik menerima risiko kerusakan dari pemanggilan MCP daripada terus berpura-pura tidak melihat risiko terkait MCP

  • Aku menemukan berbagai kerentanan MCP di MCP resmi, dan sedang membagikannya di blog (https://tramlines.io/blog). Perlindungan runtime untuk serangan kritis ‘triple MCP attack’ juga sudah lama kami sediakan di https://tramlines.io

  • Aku jadi teringat Jony Ive yang berkata bahwa kita harus bertanggung jawab atas konsekuensi tak diinginkan dari layar yang sudah menjadi hal biasa. Dalam konteks Sam yang berkata, “Paradigma komputasi baru yang sungguh nyata itu muncul sangat jarang. Mungkin dua kali dalam 50 tahun terakhir? Wajar kalau cukup bersemangat dan terkesima,” aku menduga layanan kontrol suara yang terintegrasi penuh mungkin adalah paradigma itu. Aku memperkirakan OpenAI akan mencoba dukungan suara yang lebih kuat dan integrasi aplikasi yang lebih dalam ke depannya. Integrasi MCP kali ini terasa seperti langkah pertama yang hati-hati untuk mencoba sebagian masa depan yang dibayangkan Sam dan Jony

  • Kami mencoba menghubungkan MCP kami (https://technicalseomcp.com) tapi muncul error. Sepertinya belum ada fitur debugging. Aku menemukan ada contoh implementasi di dokumen resmi: https://platform.openai.com/docs/mcp