Strapi MCP natif : ce qui vient de changer
Strapi vient de franchir une étape importante avec Strapi 5.47.0, publié sur npm le 28 mai 2026 : le CMS expose désormais un serveur MCP intégré. La documentation officielle le présente comme une fonctionnalité permettant d'exposer des outils de gestion de contenu à des clients IA via un serveur MCP built-in.
Concrètement, une fois activé, un client compatible MCP comme Claude Desktop, Claude Code, Cursor, Windsurf ou un autre outil peut se connecter à votre instance Strapi, découvrir les outils disponibles, puis créer, lire, modifier, publier ou dépublier des contenus en langage naturel. Tout passe par les permissions d'un Admin token.
Cette nuance change beaucoup de choses. Un plugin ou un sidecar MCP peut rendre service pour prototyper, mais il ajoute une brique à déployer, surveiller et sécuriser. Le MCP natif, lui, se cale directement dans la logique Strapi : modèle de contenu, permissions Admin, locales, Draft & Publish, extensions par plugin.
Pourquoi MCP change la donne pour un CMS headless
MCP, pour Model Context Protocol, standardise la façon dont un agent IA découvre et appelle des outils. Pour un CMS headless, c'est particulièrement intéressant : le contenu n'est plus seulement exposé à un front-end via REST ou GraphQL, il devient aussi manipulable par des agents qui comprennent un protocole commun.
Dans une stack Strapi + Next.js, cela ouvre une nouvelle famille d'usages : préparer une traduction, créer un brouillon d'article, retrouver les derniers contenus d'une catégorie, appliquer une correction éditoriale, publier une page après validation, ou même brancher des outils métier exposés par un plugin Strapi.
Ce que cela change vraiment
Des agents IA actionnables
L'agent ne se contente plus de conseiller : il peut créer un brouillon, lister des contenus ou préparer une mise à jour dans le CMS.
Un périmètre gouverné
Les outils visibles sont filtrés par les permissions de l'Admin token. Le modèle de sécurité de Strapi reste au centre.
Une extension côté plugins
Les plugins Strapi peuvent enregistrer leurs propres outils MCP via le service strapi.ai.mcp.
Un usage compatible i18n
Quand i18n est activé sur un type de contenu, les outils MCP acceptent un paramètre locale et l'agent voit les langues disponibles selon ses droits.
Comment activer le serveur MCP Strapi
Le serveur MCP est désactivé par défaut. Il faut l'activer dans la configuration serveur de Strapi, puis redémarrer l'application. L'endpoint devient alors disponible sur `/mcp`, par exemple `http://localhost:1337/mcp` en local.
ts// config/server.ts
import type { Core } from "@strapi/strapi";
const config = ({ env }: Core.Config.Shared.ConfigParams): Core.Config.Server => ({
host: env("HOST", "0.0.0.0"),
port: env.int("PORT", 1337),
app: {
keys: env.array("APP_KEYS"),
},
mcp: {
enabled: true,
connectTimeoutMs: 10000,
requestTimeoutMs: 120000,
},
});
export default config;Ensuite, il faut créer un Admin token dans le panneau d'administration. C'est ce token qui porte les droits : lecture seule, création de brouillons, publication, droits sur certaines locales, accès ou non à certains champs. C'est aussi lui qui doit être transmis au client MCP via un header `Authorization: Bearer`.
json{
"mcpServers": {
"strapi-mcp": {
"type": "streamable-http",
"url": "http://localhost:1337/mcp",
"headers": {
"Authorization": "Bearer YOUR_ADMIN_TOKEN"
}
}
}
}L'exemple ci-dessus correspond au format Cursor. Claude Desktop peut passer par `mcp-remote`, Claude Code accepte une commande `claude mcp add`, et les autres clients compatibles utilisent le même principe : transport `streamable-http`, URL `/mcp`, header `Authorization`.
Quels outils l'agent IA peut-il utiliser ?
Strapi génère automatiquement des outils MCP à partir de votre schéma de contenu. Le nombre exact dépend du type de contenu, des permissions accordées et de l'activation ou non de Draft & Publish.
| Type | Outils possibles | Droits nécessaires | Cas d'usage |
|---|---|---|---|
| Collection type | list, get, create, update, delete, publish, unpublish, discard_draft | read, create, update, delete, publish | Articles, pages, fiches produit, actualités |
| Single type | get, write, delete, publish, unpublish, discard_draft | read, create/update, delete, publish | Page d'accueil, paramètres SEO, page institutionnelle |
| Utilitaire dev | log | Mode développement | Déboguer les interactions MCP côté serveur |
| Plugin Strapi | Outils, prompts et ressources personnalisés | Policies déclarées par le plugin | Inventaire, workflows, validations métier, connecteurs internes |
C'est précisément là que le MCP natif devient intéressant pour des projets clients. On peut imaginer un token en lecture seule pour l'audit éditorial, un token de création de brouillons pour l'équipe contenu, et un token plus puissant réservé à un workflow contrôlé en préproduction.
i18n et workflow éditorial : le détail qui compte
La documentation Strapi précise que les outils MCP acceptent un paramètre `locale` lorsque l'internationalisation est activée sur un type de contenu. Si la locale n'est pas précisée, Strapi utilise la locale par défaut, dans la limite des permissions du token.
Pour une équipe internationale, c'est un point très concret. L'agent peut aider à préparer une variante anglaise, mais vous pouvez limiter son token à certaines langues, certains champs, ou à la création de brouillons uniquement. On garde ainsi la puissance de l'automatisation sans supprimer le contrôle éditorial.
Sécurité et gouvernance : notre checklist
Le serveur MCP Strapi est stateless : chaque requête POST vers `/mcp` crée une instance éphémère du serveur MCP, authentifiée et autorisée indépendamment. Cela signifie qu'une révocation de token ou un changement de permission prend effet dès la requête suivante.
- 1Créer un Admin token par client IA et par cas d'usage, jamais un token générique partagé entre plusieurs outils.
- 2Démarrer par un token read-only pour tester la découverte des outils et la qualité des réponses.
- 3Séparer les environnements : local, préproduction, production. Ne pas commencer par une connexion MCP en production.
- 4Limiter les droits de publication. Pour les contenus sensibles, l'agent prépare un brouillon et un humain publie.
- 5Documenter les prompts autorisés et les scénarios interdits : suppression, publication massive, modification de pages réglementaires.
- 6Surveiller les logs et les contenus créés par agent, surtout pendant les premières semaines.
Limites actuelles à connaître
La fonctionnalité est récente et encore à cadrer sérieusement avant de la mettre dans un workflow critique. Les limites officielles les plus importantes sont les suivantes :
- Dynamic zones : elles sont exposées comme des tableaux non typés dans les schémas d'outils. L'agent ne voit pas toujours la structure interne détaillée des composants.
- Population imbriquée : les outils `list` et `get` ne supportent pas les paramètres de population nested pour les relations.
- Upload média : MCP peut référencer des médias existants, mais ne téléverse pas de nouveaux fichiers. Il faut passer par la médiathèque Strapi ou l'upload API.
- Custom fields : les champs custom sont ramenés à leur type Strapi sous-jacent si le registre est disponible, sinon ils peuvent tomber sur un type inconnu.
- Références circulaires : Strapi évite les schémas récursifs infinis et bascule sur une structure plus ouverte au point du cycle.
Notre lecture : c'est déjà très utile pour les contenus structurés et les workflows cadrés, mais ce n'est pas encore une baguette magique pour piloter sans friction des modèles éditoriaux très complexes avec dynamic zones profondes et relations multiples.
Ce que cela change pour une stack Strapi + Next.js
Sur les architectures que nous construisons chez Smotly, Strapi est souvent couplé à Next.js, PostgreSQL, un CDN média, des previews et des workflows de publication. Le MCP natif ajoute une couche d'automatisation éditoriale sans remplacer l'API front.
Cas d'usage réalistes
Préparer une migration de contenus
Lister, comparer et enrichir des contenus avant import ou avant refonte, avec un token limité à la préproduction.
Accélérer l'éditorial
Créer des brouillons, proposer des titres SEO, remplir des champs manquants ou préparer une traduction à relire.
Auditer la structure
Explorer les types de contenu visibles, repérer les champs incomplets et documenter la qualité éditoriale.
Exposer des outils métier
Un plugin Strapi peut publier ses propres outils MCP pour des actions internes : inventaire, contrôle qualité, synchronisation ou validation.
La bonne approche n'est donc pas de laisser un agent IA piloter tout le CMS. La bonne approche consiste à choisir un workflow précis, un environnement précis, un token précis, puis à mesurer ce que l'automatisation fait gagner sans dégrader la sécurité ni la qualité éditoriale.
Strapi MCP natif vs plugin MCP : ne pas confondre
| Critère | MCP natif Strapi 5.47 | Plugin ou wrapper MCP |
|---|---|---|
| Déploiement | Intégré au serveur HTTP Strapi | Brique séparée ou plugin à maintenir |
| Endpoint | `/mcp` sur l'instance Strapi | Variable selon l'implémentation |
| Permissions | Admin tokens et permissions Strapi | Dépend de l'implémentation |
| Outils | Générés depuis le schéma de contenu | Souvent définis par le plugin/wrapper |
| Extensions | API `strapi.ai.mcp` pour plugins | API propre au plugin ou au serveur externe |
Les plugins MCP ont eu le mérite d'explorer le sujet avant l'intégration native. Mais pour des clients qui veulent industrialiser, réduire la surface de maintenance et rester proches du modèle de sécurité Strapi, le MCP natif devient naturellement la piste à privilégier.
Notre recommandation Smotly
Si votre projet est déjà sur Strapi 5, Strapi MCP mérite un test rapide en préproduction. Le premier sprint peut être très court : activation, token read-only, connexion Cursor ou Claude, inventaire des outils visibles, puis création d'un brouillon test dans une collection non critique.
Si vous êtes encore en Strapi v4, cette nouveauté renforce l'intérêt d'une migration vers Strapi 5, mais elle ne doit pas être le seul argument. Il faut regarder l'ensemble : Document Service API, i18n, versioning, performance, compatibilité plugins, stratégie de contenu et dette existante. Notre guide sur la migration Strapi v4 vers v5 reste le bon point de départ.
Sources utilisées
Écrit par
Théodore
Smotly
Nous accompagnons des projets Strapi, Next.js et IA avec une obsession simple : des architectures utiles, maintenables et gouvernées.
Échanger avec l'équipe