Servidor Terraform MCP Chega com 16 Ferramentas para Agentes LLM, Bloqueado por Padrão

HashiCorp lançou o Servidor Terraform MCP para disponibilidade geral no dia 11 de junho de 2026, permitindo que agentes LLM acessem Terraform Enterprise e espaços de trabalho HCP Terraform por meio de um gateway MCP de código aberto. O servidor expõe 16 ferramentas em sua configuração padrão (conjunto de ferramentas do registro público), com três conjuntos de ferramentas — `registry`, `registry-private`, e `terraform` — expondo dezenas de operações adicionais em gerenciamento de espaços de trabalho, inspeção de planos, conjuntos de variáveis e anexação de políticas, incluindo pesquisa de registro público e privado, documentação do provedor, introspecção de espaço de trabalho e interpretação de arquivos de plano. Operações destrutivas como create_run, plan_and_apply e exclusão de espaço de trabalho estão desabilitadas por padrão, controladas por um bloqueio `ENABLE_TF_OPERATIONS=false`.

O servidor está disponível como um container Docker (`hashicorp/terraform-mcp-server:1.0.0`) ou um binário nativo e oferece suporte a dois transportes: stdio para desenvolvimento de agentes locais e StreamableHTTP com SSE para camadas de governança compartilhadas remotas. Ele oferece três conjuntos de ferramentas — `registry`, `registry-private`, e `terraform` — além de agrupamentos `all` e `default`, permitindo que agentes descubram módulos aprovados, auditem configurações em relação a políticas Sentinel e consultem o estado ao vivo do espaço de trabalho. O servidor proxy de solicitações através do `TFE_TOKEN` existente do chamador, impondo as mesmas fronteiras de RBAC do CLI. Equipes podem fazer commit de um `AGENTS.md` em um repositório Terraform para fornecer aos agentes de codificação contexto e instruções específicas da organização para qualquer agente compatível com MCP que o leia.

Os limites de taxa padrão são definidos para uso interativo: 10 solicitações por segundo globalmente com um pico de 20, e 5 RPS por sessão com um pico de 10. Métricas de OpenTelemetry para volume de chamadas de ferramenta, contagens de erros e latência exportam em um intervalo de dois segundos quando habilitado, marcadas pelo nome do serviço e versão. O servidor inicia em `MCP_CORS_MODE=strict` com uma lista de origens permitidas vazia, bloqueando tráfego de origens cruzadas até que um operador as defina explicitamente, e padroniza para o modo de sessão com estado — sem estado está disponível apenas para topologias de HA balanceadas por carga.

HashiCorp aconselha contra a exposição do servidor a clientes MCP não confiáveis ou LLMs, pois um cliente comprometido com um token válido poderia exfiltrar metadados do espaço de trabalho ou acionar mudanças na infraestrutura se operações destrutivas estiverem habilitadas. Não há caixa de avaliação, sandbox de plano ou portão de política automatizado para verificar se uma configuração gerada pelo agente corresponde aos padrões da organização antes da execução; o modelo de segurança depende do IAM ambiente mais o alternador de ambiente `ENABLE_TF_OPERATIONS`. HashiCorp reconhece que o servidor foi moldado por feedback do cliente para mudar a busca repetitiva de documentação e interpretação de plano para assistentes de IA, mas o governo centralizado agora requer um gateway de API, lista branca de IPs e ajuste cuidadoso de sessão para qualquer topologia de serviço compartilhado.

O padrão a ser imitado é a divisão de nível de ambiente rígida entre ferramentas de descoberta somente leitura e mutações destrutivas, exigindo intenção explícita e auditável do operador para desbloquear. Se sua plataforma de agentes internos carece deste portão binário, o raio de explosão é muito amplo.

Sources

HashiCorp announced GA of the Terraform MCP Server on June 11, 2026, available for both HCP Terraform and Terraform Enterprise
"Today, we're announcing the general availability of Terraform MCP server, now available for both HCP Terraform and Terraform Enterprise."
hashicorp.com ↗
GA announcement date confirmed as June 11, 2026 via HashiCorp blog sidebar metadata on multiple posts
"Terraform MCP server is now generally available · Jun 11, 2026 | 4 min read"
hashicorp.com ↗
Server exposes 16 tools in default configuration; mcp.directory lists 35+ tools for IaC workflows across all toolsets
"35+ tools for IaC workflows. This server exposes 16 tools that AI clients can invoke during conversations and coding sessions."
mcp.directory ↗
Three toolsets — registry, registry-private, and terraform — surface dozens more operations across workspace management, plan inspection, variable sets, and policy attachment
"The server includes the following toolsets: registry — Tools for accessing the public registry; registry-private — Tools for accessing private registries; terraform — Tools for interacting with HCP Terraform and Terraform Enterprise"
developer.hashicorp.com ↗
Destructive operations are disabled by default behind ENABLE_TF_OPERATIONS=false
"ENABLE_TF_OPERATIONS: Enable tools that require explicit approval — false"
github.com ↗
Docker image is hashicorp/terraform-mcp-server:1.0.0; supports stdio and StreamableHTTP transports
"hashicorp/terraform-mcp-server:1.0.0"
github.com ↗
The Terraform MCP Server can be used with agents such as Cursor, Claude, Gemini, IBM Bob
"The Terraform MCP Server can be used with agents such as Cursor, Claude, Gemini, IBM Bob, and others."
infoq.com ↗
Server proxies requests through the caller's existing TFE_TOKEN, inheriting existing RBAC
"We also recommend limiting the permissions of the TFE_TOKEN used to authenticate as described in the Terraform documentation."
developer.hashicorp.com ↗
AGENTS.md is a per-repo committed file providing coding agents with organization-specific context and instructions
"AGENTS.md essentially behaves as READMEs for coding agents: a dedicated, predictable place to provide the context and instructions to help AI coding agents work on your project. One AGENTS.md file works with different coding agents."
github.com ↗
Default global rate limit is 10 rps with burst of 20; per-session rate limit is 5 rps with burst of 10
"MCP_RATE_LIMIT_GLOBAL: Global rate limit (format: rps:burst) 10:20 — MCP_RATE_LIMIT_SESSION: Per-session rate limit (format: rps:burst) 5:10"
github.com ↗
OTel metrics export on a two-second interval by default
"OTEL_METRICS_EXPORT_INTERVAL: Controls the frequency of metric flushes — 2"
github.com ↗
CORS strict mode by default with empty allowed-origins list blocks all cross-origin traffic
"By default, Terraform MCP server runs in strict CORS (cross-origin request) mode and the allowed origins are empty. As a result, all cross-origin requests are blocked unless the server is explicitly configured to allow them."
developer.hashicorp.com ↗
HashiCorp warns not to expose the server to untrusted MCP clients or LLMs
"Security Note: Depending on the query, the MCP server may expose certain Terraform data to the MCP client and LLM. Do not use the MCP server with untrusted MCP clients or LLMs."
github.com ↗
Real-time access to provider docs ensures AI-generated configs use accurate, up-to-date information rather than outdated training data
"The Terraform Model Context Protocol (MCP) server enhances AI models with real-time access to current Terraform provider documentation, modules, and policies from the Terraform registry. This ensures AI-generated Terraform configurations use accurate, up-to-date information rather than potentially outdated training data."
developer.hashicorp.com ↗

Escrito e editado por agentes de IA · Methodology

Servidor Terraform MCP Chega com 16 Ferramentas para Agentes LLM, Bloqueado por Padrão

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.