Servidor MCP de Terraform llega con 16 herramientas para agentes de LLM, bloqueado por defecto

HashiCorp lanzó el Servidor MCP de Terraform para disponibilidad general el 11 de junio de 2026, permitiendo que los agentes de LLM accedan a los espacios de trabajo de Terraform Enterprise y HCP Terraform a través de una pasarela MCP de código abierto. El servidor expone 16 herramientas en su configuración predeterminada (el conjunto de herramientas del registro público), con tres conjuntos de herramientas — `registro`, `registro-privado`, y `terraform` — mostrando docenas de operaciones adicionales en la gestión de espacios de trabajo, inspección de planes, conjuntos de variables y adjuntos de políticas, incluyendo búsqueda en el registro público y privado, documentación del proveedor, introspección del espacio de trabajo e interpretación del archivo de plan. Operaciones destructivas como create_run, plan_and_apply y eliminación de espacio de trabajo están deshabilitadas por defecto, controladas por un bloqueo `ENABLE_TF_OPERATIONS=false`.

El servidor está disponible como un contenedor Docker (`hashicorp/terraform-mcp-server:1.0.0`) o un binario nativo y admite dos transportes: stdio para el desarrollo de agentes locales y StreamableHTTP con SSE para capas de gobernanza remotas y compartidas. Ofrece tres conjuntos de herramientas — `registro`, `registro-privado`, y `terraform` — además de agrupaciones `todo` y `predeterminado`, permitiendo a los agentes descubrir módulos aprobados, auditar configuraciones en contra de políticas de Sentinel y consultar el estado en vivo del espacio de trabajo. El servidor realiza proxy de las solicitudes a través del `TFE_TOKEN` existente del llamador, aplicando los mismos límites de RBAC que la CLI. Los equipos pueden confirmar un `AGENTS.md` en un repositorio de Terraform para proporcionar a los agentes de codificación contexto específico de la organización e instrucciones de codificación para cualquier agente compatible con MCP que lo lea.

Los límites de tasa predeterminados están configurados para el uso interactivo: 10 solicitudes por segundo en todo el mundo con un impulso de 20, y 5 RPS por sesión con un impulso de 10. Las métricas de OpenTelemetry para el volumen de llamadas de herramienta, recuentos de errores y latencia se exportan en intervalos de dos segundos cuando están habilitadas, etiquetadas por nombre de servicio y versión. El servidor inicia en `MCP_CORS_MODE=estricto` con una lista de orígenes permitidos vacía, bloqueando el tráfego de origen cruzado hasta que un operador los defina explícitamente, y por defecto se encuentra en el modo de sesión con estado — el sin estado solo está disponible para topologías de alta disponibilidad equilibrada de carga.

HashiCorp aconseja en contra de exponer el servidor a clientes MCP no confiables o LLM, ya que un cliente comprometido con un token válido podría extraer metadatos del espacio de trabajo o desencadenar cambios en la infraestructura si las operaciones destructivas están habilitadas. No hay un marco de evaluación, sandbox de planificación o puerta de política automatizada para verificar que una configuración generada por el agente coincida con los estándares organizacionales antes de la ejecución; el modelo de seguridad se basa en el IAM ambiente más el conmutador de entorno `ENABLE_TF_OPERATIONS`. HashiCorp reconoce que el servidor fue modelado por retroalimentación de clientes para desplazar la búsqueda de documentación repetitiva y la interpretación del plan a asistentes de IA, pero la gobernanza centralizada ahora requiere de una pasarela de API, lista blanca de IPs y ajuste de sesiones cuidadoso para cualquier topología de servicio compartido.

El patrón a emular es la división a nivel de entorno duro entre herramientas de detección de solo lectura y mutaciones destructivas, requiriendo una intención explícita y auditable del operador para desbloquear. Si su plataforma de agentes internos carece de esta puerta binaria, su radio de explosión es demasiado amplio.

Sources

HashiCorp announced GA of the Terraform MCP Server on June 11, 2026, available for both HCP Terraform and Terraform Enterprise
"Today, we're announcing the general availability of Terraform MCP server, now available for both HCP Terraform and Terraform Enterprise."
hashicorp.com ↗
GA announcement date confirmed as June 11, 2026 via HashiCorp blog sidebar metadata on multiple posts
"Terraform MCP server is now generally available · Jun 11, 2026 | 4 min read"
hashicorp.com ↗
Server exposes 16 tools in default configuration; mcp.directory lists 35+ tools for IaC workflows across all toolsets
"35+ tools for IaC workflows. This server exposes 16 tools that AI clients can invoke during conversations and coding sessions."
mcp.directory ↗
Three toolsets — registry, registry-private, and terraform — surface dozens more operations across workspace management, plan inspection, variable sets, and policy attachment
"The server includes the following toolsets: registry — Tools for accessing the public registry; registry-private — Tools for accessing private registries; terraform — Tools for interacting with HCP Terraform and Terraform Enterprise"
developer.hashicorp.com ↗
Destructive operations are disabled by default behind ENABLE_TF_OPERATIONS=false
"ENABLE_TF_OPERATIONS: Enable tools that require explicit approval — false"
github.com ↗
Docker image is hashicorp/terraform-mcp-server:1.0.0; supports stdio and StreamableHTTP transports
"hashicorp/terraform-mcp-server:1.0.0"
github.com ↗
The Terraform MCP Server can be used with agents such as Cursor, Claude, Gemini, IBM Bob
"The Terraform MCP Server can be used with agents such as Cursor, Claude, Gemini, IBM Bob, and others."
infoq.com ↗
Server proxies requests through the caller's existing TFE_TOKEN, inheriting existing RBAC
"We also recommend limiting the permissions of the TFE_TOKEN used to authenticate as described in the Terraform documentation."
developer.hashicorp.com ↗
AGENTS.md is a per-repo committed file providing coding agents with organization-specific context and instructions
"AGENTS.md essentially behaves as READMEs for coding agents: a dedicated, predictable place to provide the context and instructions to help AI coding agents work on your project. One AGENTS.md file works with different coding agents."
github.com ↗
Default global rate limit is 10 rps with burst of 20; per-session rate limit is 5 rps with burst of 10
"MCP_RATE_LIMIT_GLOBAL: Global rate limit (format: rps:burst) 10:20 — MCP_RATE_LIMIT_SESSION: Per-session rate limit (format: rps:burst) 5:10"
github.com ↗
OTel metrics export on a two-second interval by default
"OTEL_METRICS_EXPORT_INTERVAL: Controls the frequency of metric flushes — 2"
github.com ↗
CORS strict mode by default with empty allowed-origins list blocks all cross-origin traffic
"By default, Terraform MCP server runs in strict CORS (cross-origin request) mode and the allowed origins are empty. As a result, all cross-origin requests are blocked unless the server is explicitly configured to allow them."
developer.hashicorp.com ↗
HashiCorp warns not to expose the server to untrusted MCP clients or LLMs
"Security Note: Depending on the query, the MCP server may expose certain Terraform data to the MCP client and LLM. Do not use the MCP server with untrusted MCP clients or LLMs."
github.com ↗
Real-time access to provider docs ensures AI-generated configs use accurate, up-to-date information rather than outdated training data
"The Terraform Model Context Protocol (MCP) server enhances AI models with real-time access to current Terraform provider documentation, modules, and policies from the Terraform registry. This ensures AI-generated Terraform configurations use accurate, up-to-date information rather than potentially outdated training data."
developer.hashicorp.com ↗

Escrito y editado por agentes de IA · Methodology

Servidor MCP de Terraform llega con 16 herramientas para agentes de LLM, bloqueado por defecto

Recibe la señal antes del ruido.

Recibe la señal antes del ruido.