Read/Write Split Captura Erro Null-Pointer em Servidor MCP GraphQL do Lambda

A equipe executa nove ferramentas MCP estreitamente escopo com um modelo de mutação deny-by-default. A arquitetura capturou uma falha crítica de produção que testes unitários não conseguiram: um erro null-pointer em Lambda no resolver create_collection.

O servidor MCP executa em Go usando a biblioteca mcp-go e se comunica com AWS AppSync via GraphQL. Autenticação usa bearer tokens OIDC—short-lived e scoped por usuário, impostos via diretiva @aws_oidc do AppSync. Chaves de API compartilhadas foram rejeitadas: toda requisição LLM carregaria acesso idêntico independentemente da identidade do chamador. OIDC preserva trail de auditoria e scoping de dados. O servidor também suporta assinatura AWS SigV4 e autenticação por chave de API como fallbacks. O método ativo é logado na inicialização: level=INFO msg=starting mcp-server auth=oidc mutations=false tools=8 resources=2 prompts=2.

Seis ferramentas somente-leitura cobrem search_companies (busca por palavra-chave com filtro de país, máx 100 resultados), get_company, get_companies_batch (deduplicação, máx 50 IDs), ai_search (linguagem natural com limite 5 requisições por minuto), list_collections, e get_collection_items. Três ferramentas de mutação—create_collection, add_to_collection, e request_email_discovery—são porteiras por uma flag CLI --allow-mutations que padrão é false. Apenas oito de nove ferramentas foram ativadas. Testes de integração expuseram o erro null-pointer no resolver backend de create_collection. A ferramenta não tem sinal de teste unitário para esta falha e foi comentada do caminho de registro. O log de inicialização reportando tools=8 em vez de 9 foi o sinal imediato do bloqueio de deployment.

O portão de mutação vive no nível do construtor de registro. Cada ferramenta de mutação armazena o booleano allowMutations e verifica na entrada Execute antes de tocar GraphQL. Sem a flag, o erro aparece imediatamente: mutações desabilitadas; use a flag --allow-mutations para habilitar operações de escrita. O cliente GraphQL nunca recebe a requisição. Separação read/write é imposta em código, não em convenção de nomes.

Testes usaram clientes GraphQL mockados via Testify Mock para lógica de ferramentas em nível unitário, depois validaram toda ferramenta contra o endpoint AppSync real através de MCP Inspector antes de conectar um cliente LLM. Capturar as variáveis GraphQL reais que o mock recebeu—não apenas a forma final de resposta—foi crítico. Esta abordagem capturou dois bugs pré-produção: uma falha de normalização de código de país (a ferramenta enviou US onde AppSync esperava countries;United States) e um limite faltante. Ambos os bugs passaram em assertivas de forma de saída limpo. Captura de variáveis revelou as entradas malformadas. Descoberta de email carrega um teto de taxa separado de 10 requisições por hora.

Três modos de falha merecem atenção. Primeiro, o erro null-pointer de create_collection falhou em toda chamada de integração contra o estágio de teste dev-team-a. Testes mockados verificam lógica de ferramentas mas não podem substituir validação de backend real. Segundo, chamadas bare de search_companies sem filtro de país ou categoria combinam o dataset inteiro de mais de um milhão de perfis e retornam páginas quase-aleatórias, acionando consultas de follow-up LLM que compõem a amplitude. A equipe limitou isso construindo filtros de categoria no contrato de ferramenta. Terceiro, a implementação atual não tem logging estruturado por requisição. Nome da ferramenta, latência, forma de entrada, e tipo de erro não são capturados como entradas de log independentes. Respostas de erro tipadas superficializam diagnósticos, mas telemetria de produção foi adiada como próximo passo.

Sources

Platform serves more than one million company profiles exposed through an MCP server on AWS
"we wanted to expose a B2B intelligence platform built on more than one million company profiles to an LLM client through an MCP server"
infoq.com ↗
MCP server built in Go using mcp-go library with GraphQL client targeting AWS AppSync
"we built a Go-based MCP server that translated user requests into a set of narrowly scoped tools. The implementation used mcp-go, a GraphQL client for AppSync"
infoq.com ↗
Authentication uses OIDC bearer tokens enforced at AppSync resolver level via @aws_oidc directive
"AppSync enforces authentication at the resolver level through its @aws_oidc directive, so the backend rejects requests with expired or invalid tokens before the resolver logic runs"
infoq.com ↗
Startup log surfaces auth method, mutation flag, tool count, resource count, and prompt count: auth=oidc mutations=false tools=8 resources=2 prompts=2
"level=INFO msg=starting mcp-server auth=oidc mutations=false tools=8 resources=2 prompts=2"
infoq.com ↗
search_companies caps results at 100; ai_search rate-limited to 5 requests per minute
"ai_search: Natural language search with conversation threading; rate-limited to 5 req/min"
infoq.com ↗
request_email_discovery rate-limited to 10 requests per hour
"request_email_discovery: Trigger email lookup for a contact; rate-limited to 10 req/hour"
infoq.com ↗
create_collection removed from active tool set after Lambda null-pointer error found during integration testing against real AppSync
"create_collection was commented out of the registration path after integration tests revealed a backend Lambda error that had not surfaced through unit tests alone"
infoq.com ↗
Mutation tools return explicit error if --allow-mutations flag is absent, before touching GraphQL
"mutations are disabled; use --allow-mutations flag to enable write operations"
infoq.com ↗
--allow-mutations flag registered via Cobra CLI with a false default
"serveCmd.Flags().BoolVar(&allowMutations, allow-mutations, false, Enable write operations)"
infoq.com ↗
Country-code normalization bug: tool forwarded values like US where AppSync expected countries;United States format
"The first bug this technique exposed was an incorrect country-code mapping, where an earlier version of the tool forwarded values like US to GraphQL instead of the required countries;United States format"
infoq.com ↗
Broad queries with no country filter against 1M+ profiles return a near-random page of results
"a bare query with no country or category constraint would match across the entire million plus profile set and return a near-random page of ten results"
infoq.com ↗
Per-request structured logging not part of the initial implementation
"Beyond startup, the current implementation does not log individual tool calls or request-level telemetry"
infoq.com ↗

Escrito e editado por agentes de IA · Methodology

Read/Write Split Captura Erro Null-Pointer em Servidor MCP GraphQL do Lambda

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.