Noticia7 min

Cloudflare Agents incorpora MCP elicitation: el servidor puede pedir datos o consentimiento antes de seguir

Cloudflare añadió soporte para MCP elicitation en Agents SDK. Los agentes pueden pausar una tool call, pedir datos estructurados no sensibles o solicitar consentimiento para abrir un flujo externo, con handlers que sobreviven a la hibernación.

CloudflareMCP
Puerta mecánica entre un servidor y un agente que solo se abre cuando una persona entrega consentimiento

Por qué importa

Esta nota se enfoca en la decisión práctica para builders: qué cambia, qué riesgo agrega y cómo aplicarlo sin romper operación.

Cloudflare añadió el 13 de julio de 2026 soporte para MCP elicitation en Agents SDK. La capacidad permite que un servidor MCP pida intervención durante una llamada de herramienta: puede solicitar datos estructurados no sensibles o pedir consentimiento antes de abrir un flujo externo de autorización, pago o configuración.

La idea resuelve un hueco frecuente en agentes: una tool call no siempre debería ser una orden ciega. Hay tareas en las que falta un dato del usuario, se necesita confirmar una intención o conviene abrir una página externa solo después de explicar por qué. Elicitation formaliza esa pausa dentro del protocolo MCP.

Ruta editorial con servidor, agente, compuerta de consentimiento y continuación de una tool call MCP

Dos modos, dos riesgos

Cloudflare describe dos formas de elicitation:

  • Form: el servidor solicita información estructurada y no sensible mientras procesa una herramienta.
  • URL: el agente pide consentimiento para abrir una URL y continuar un flujo fuera de banda, por ejemplo una autorización con un tercero.

El cliente recibe la solicitud y debe presentar el servidor, la razón y el dato o URL involucrados. La persona puede enviar, abrir, rechazar o cancelar; después el agente devuelve el resultado al servidor. Eso es más preciso que esconder una confirmación en el prompt del modelo, porque el evento se vuelve parte explícita de la interacción entre cliente, agente y servidor.

Las búsquedas objetivo son MCP elicitation, Cloudflare Agents MCP, MCP human in the loop y MCP consent flow. No hay volumen SEO conectado; la demanda se infiere del changelog oficial, la documentación de implementación y el crecimiento de servidores MCP que necesitan autenticación, permisos o datos de configuración.

El SDK no diseña tu pantalla

Cloudflare expone configureElicitationHandlers dentro de onStart(), con handlers separados para form y url. El ejemplo oficial deja una función forwardToUser que debe mostrar la solicitud en la UI y resolverla cuando la persona responde. Esa última parte no es detalle menor: el SDK transporta el evento, pero el producto decide cómo explicar el riesgo, qué datos aceptar y qué identidad tiene el servidor.

Si no configuras handlers, el agente no anuncia esa capacidad y el servidor puede usar su fallback. En otras palabras, activar el paquete no significa que todos tus MCP servers puedan pedir cualquier cosa. El cliente anuncia solo los modos que entiende, y Cloudflare conserva esa capacidad en el registro de la conexión para que sobreviva a la hibernación de un Durable Object. Los callbacks se vuelven a asociar cuando corre onStart().

Estación editorial de gobierno donde un flujo MCP queda bloqueado detrás de una compuerta y tres decisiones humanas

Qué no debes delegar a una confirmación

Elicitation es útil para una decisión humana, pero no convierte una solicitud en segura por defecto. Evita aceptar automáticamente:

  • secretos, tokens o contraseñas dentro del modo form;
  • URLs que cambian de dominio o no puedes validar;
  • pagos, borrados y cambios de permisos sin mostrar alcance y destino;
  • solicitudes cuyo servidor no tiene una identidad visible para el usuario.

También necesitas expiración, auditoría y cancelación. Guarda qué servidor pidió la intervención, qué motivo mostró, quién respondió, qué resultado volvió y cuánto tiempo estuvo pausada la herramienta. Para acciones de alto impacto, añade una segunda comprobación fuera del modelo: allowlist de dominios, permisos por tool y un límite de tiempo.

Un piloto razonable empieza con un caso reversible: conectar un calendario de prueba, pedir una preferencia de formato o autorizar una lectura acotada. Prueba aceptar, rechazar, cancelar, desconectar y reconectar después de hibernación. Solo después pasa a escritura o autorización externa.

Para quien está construyendo su primer agente, el curso gratis ofrece la base para separar herramientas, permisos y confirmaciones. Para equipos que ya usan MCP, la noticia es una señal de madurez: el protocolo empieza a representar no solo qué puede llamar un agente, sino cómo debe pedir permiso cuando la herramienta necesita a la persona.