Ein Model Context Protocol (MCP)-Server, der Ironclad als Tool-Oberfläche für Claude freigibt — damit Anwälte und Legal-Ops-Engineers Claude bitten können, einen Workflow nachzuschlagen, das ausgeführte Vertragsrepository zu durchsuchen, einen bestimmten Klauseltyp abzurufen, die Metadaten eines Workflows zusammenzufassen oder einen Datensatz zu annotieren — alles aus einer Claude-Konversation heraus statt aus der Ironclad-UI. Das Gerüst befindet sich unter apps/web/public/artifacts/mcp-server-ironclad-legal/ und ist bewusst read-mostly konzipiert: Entwürfe innerhalb aktiver Workflows sind typischerweise privilegiertes Arbeitsprodukt, daher schneidet der Server Dokumententexte standardmäßig ab und erzwingt einen expliziten zweiten Tool-Aufruf zum Abrufen des vollständigen Textes.
Wann verwenden
Greifen Sie hierauf zurück, wenn Ihr Inhouse-Team bereits auf Ironclad ist und Sie drei oder mehr wiederkehrende Abfragen benennen können, die Anwälte wöchentlich durch mehrfaches Klicken in der Ironclad-UI ausführen — typische Beispiele: „alle aktiven MSAs über $500K auflisten”, „die Schadensersatz-Klausel aus den letzten zwanzig abgeschlossenen Deals abrufen”, „Workflows zeigen, die seit mehr als fünf Geschäftstagen auf die Gegenseite warten”. Diese Abfragen sind mechanisch: Vertragstyp identifizieren, nach einer Eigenschaft filtern, ein Metadatenfeld zurückgeben. Sie sind genau die Form von Arbeit, die sich gut in eine Claude-Tool-Konversation komprimieren lässt.
Das wirtschaftliche Argument: Ein Stage 4 Optimized Legal-Ops-Team, das das Äquivalent von 200 solcher Abfragen pro Woche durchführt, bei etwa vier Minuten pro Abfrage End-to-End (Ironclad öffnen, Suche ausführen, filtern, Ergebnis kopieren, in Mandatsnotizen einfügen), verbringt etwa 13 Stunden pro Woche mit UI-Navigation. Das auf ~30 Sekunden pro Claude-Turn zu komprimieren, bringt die Zeit auf unter zwei Stunden. Die verbleibenden Stunden gehen zurück an die inhaltliche Prüfarbeit — wo die marginale Stunde des Teams tatsächlich knapp ist.
Wann NICHT verwenden
Überspringen Sie dies, wenn das Volumen dieser wiederkehrenden Abfragen Ihres Teams unter etwa zwanzig pro Woche liegt — die Einrichtungskosten (rechtliche Prüfung der Privilege-Position, Sicherheitsüberprüfung des Blast-Radius des Bearer-Tokens und der Sandbox-to-Production-Validierungszyklus) amortisieren sich bei diesem Volumen nicht. Klicken Sie durch die Ironclad-UI; überdenken Sie dies, wenn das Volumen wächst.
Überspringen Sie dies, wenn Ihr Tenant auf einem Tier oder in einer Region ist, dessen öffentliche API-Oberfläche nicht gegen den angenommenen Basispfad des Gerüsts validiert wurde (https://ironcladapp.com/public/api/v1/). Das Gerüst ist zur Laufzeit nicht getestet; das Ausführen gegen eine nicht verifizierte Basis-URL erzeugt 404-Fehler, die sich als „fehlende Daten” in Claude-Konversationen tarnen — genau das Fehlermuster, das das Vertrauen in MCP-vermittelte Legal-Tooling untergräbt.
Überspringen Sie dies, wenn Ihre Mandatsverwaltungsrichtlinie alle Workflow-Inhalte — Entwürfe, Redlines, Audit-Logs, Kommentare — ausnahmslos als privilegiert behandelt. Die standardmäßige Abschneidungsposition des Servers behandelt den Normalfall, aber ein strenges Privilege-Regime benötigt eine zusätzliche Privilege-Tag-Enforcement-Schicht (Punkt 5 auf der TODO-Liste des Bundles), bevor irgendein Deployment, einschließlich Read-Only, erfolgt.
Und schließlich überspringen Sie dies, wenn Sie noch keine KI-Policy für Legal-Teams haben, die den Claude-Zugriff auf Vertragsdaten abdeckt. Richten Sie zuerst die Policy ein; dann diesen Server.
Setup
Das Setup ist detailliert unter apps/web/public/artifacts/mcp-server-ironclad-legal/README.md dokumentiert. Zusammenfassung:
Das Bundle in ein privates Repo klonen. pip install -e . innerhalb des virtualenv des Bundles ausführen.
Einen Ironclad-API-Token in der Admin-Konsole (Admin → API Keys → Create) mit Read-Scope für Workflows, Records und Documents bereitstellen. Add-Comment-Write-Scope nur hinzufügen, wenn add_comment verwendet werden soll. Die zugrundeliegende Service-Account-Rolle eng bereitstellen — das Bearer-Token sieht alles, was diese Rolle sehen kann.
Umgebungsvariablen setzen: IRONCLAD_API_TOKEN, IRONCLAD_TRUNCATE_AT (Standard 4000 Zeichen pro Dokumenttext in Zusammenfassungsantworten), IRONCLAD_DEFAULT_WORKFLOW_TYPES (z.B. msa,nda,sow,dpa).
Beim Claude Desktop über den JSON-Snippet im README registrieren.
Plausibilitätsprüfung, indem Claude gebeten wird, einen bekannten Workflow zu zusammenfassen, dann bestätigen, dass die Antwort nur Metadaten mit _truncated_at-Markierungen auf Textfeldern ist, dann den vollständigen Dokumenttext anfordern und bestätigen, dass er erst nach dem expliziten get_document-Aufruf ankommt.
Der zweistufige Abruf ist der Kern — wenn Schritt 5 einen vollständigen Dokumenttext direkt beim ersten Aufruf zurückgibt, ist der Abschneide-Guard falsch konfiguriert und Sie sollten stoppen und es beheben, bevor Sie den Server jemandem außer dem Engineering-Mitarbeiter zugänglich machen, der ihn eingerichtet hat.
Was er freigibt
Der Server registriert neun Tools, gruppiert nach dem Privilege-Modell:
Objekt-Reads (Read-Only):get_workflow, get_record, get_document. Jedes gibt die Metadaten des angeforderten Objekts zurück; nur get_document gibt vollständigen Bodytext zurück, und nur wenn explizit aufgerufen.
Suche (Read-Only):search_records (Volltext gegen das ausgeführte Vertragsrepository), list_workflows (gefiltert nach Status und Typ).
Legal-Helfer (Read-Only):clauses_by_type gibt extrahierte Klauseln eines bestimmten Typs zurück (z.B. indemnification, liability_cap, termination) aus Workflow-Dokumenten; expiring_contracts gibt Records zurück, die sich einem Renewal- oder Ablaufdatum in einem Fenster nähern.
Audit-Klasse (standardmäßig abgeschnitten):summarize_workflow gibt eine nur-Metadaten-Zusammenfassung plus Dokument-IDs und Titel zurück; Dokumenttexte in der Zusammenfassung werden auf IRONCLAD_TRUNCATE_AT Zeichen abgeschnitten mit einem _truncated_at-Marker.
Light Writes (privilegiert):add_comment hängt einen Kommentar an einen Record. Der einzige Write-Pfad mit Absicht. Kommentare in Ironclad sind selbst auffindbar — nichts schreiben, was Sie nicht direkt in der Ironclad-UI schreiben würden.
Die Dispatch-Logik mit dem Abschneide-Helfer und dem nur-Metadaten-Audit-Logger befindet sich in apps/web/public/artifacts/mcp-server-ironclad-legal/src/ironclad_legal_mcp/server.py.
Privilege-Modell
Drei konkrete Positionsentscheidungen, jeweils mit einem Schutz im Gerüst:
Read-mostly. Kein delete_*, keine Entwurfsbearbeitungen, keine Workflow-Stadiumsübergänge, keine Unterzeichneränderungen. Der einzige Write-Pfad ist add_comment. Schutz: Der Dispatch in server.py registriert einfach keine Write-Tools jenseits von Kommentaren. Das Hinzufügen eines zustandsändernden Tools erfordert eine explizite Code-Änderung mit einem Privilege-Review.
Standardmäßig abschneiden.summarize_workflow schneidet Dokumenttexte auf IRONCLAD_TRUNCATE_AT (Standard 4000 Zeichen) ab und kennzeichnet die Antwort mit _truncated_at, damit Claude weiß, einen Follow-up-get_document-Aufruf zu stellen, wenn der Nutzer explizit fragt. Schutz: Der truncate_body()-Helfer in server.py ist der einzige Chokepoint; ihn zu erweitern ändert die Privilege-Position für jede Aufrufstelle auf einmal.
Suchabfrage-Metadaten werden nicht persistiert. Der Audit-Logger erfasst Zeitstempel, Nutzer, Tool-Name und Ergebnis-Count — niemals den Abfrage-String selbst. Schutz: Der log_invocation()-Helfer hat keinen query-Parameter; ihn aufzudecken würde eine Code-Änderung erfordern, die gegen die Privilege-Policy geprüft wird.
Zusammen bedeuten diese drei Entscheidungen, dass Claude durch das Vertragsrepository navigieren, die Metadaten aufdecken kann, die ein Anwalt für eine Entscheidung benötigt, und eine Aktion mit einem Kommentar dokumentieren kann — ohne versehentlich privilegiertes Arbeitsprodukt zu exfiltrieren oder einen auffindbaren Datensatz der Prüfprioritäten des Teams zu erstellen. Das Privilege-Modell ist das Produkt; die Tools sind die Oberfläche.
Kostenrealität
Drei tatsächliche Positionen:
Claude-Abonnement. Claude Desktop oder Claude Code mit aktiviertem MCP. Pro bei $20/Nutzer/Monat oder Team bei $25–30/Nutzer/Monat deckt die meisten Inhouse-Legal-Team-Setups ab; sehr intensive Nutzer können Max rechtfertigen.
Server-Hosting. Selbst gehosteter Python-Prozess. Lokal pro Anwalt für die Entwicklung ausführen, oder auf einer kleinen internen VM (1 vCPU / 1 GB RAM reicht für unter-100-Aufrufe/Tag-Volumen) hinter Ihrem VPN für gemeinsame Nutzung. Etwa $5–20/Monat auf einem Hyperscaler, kostenlos, wenn bereits Kubernetes-Kapazität vorhanden ist.
Ironclad API-Kontingent. Ironclad rate-limitiert pro Tenant; ein Team, das 200 Abfragen/Woche durchführt, bleibt weit innerhalb der Standardkontingente, aber ein Team, das eine Automatisierung baut, die das gesamte Repository nächtlich scannt, wird schnell an Limits stoßen. Die TODO-Liste im README des Bundles kennzeichnet Exponential-Backoff-Retries als Pre-Production-Aufgabe — einmal durch das Kontingent brennen, und Sie verstehen warum.
Die nicht budgetierte Position ist die Zeit für die rechtliche Überprüfung. Planen Sie zwei bis vier Stunden Inhouse-Anwaltszeit für die Privilege-Position vor jedem Produktions-Deployment und weitere ein bis zwei Stunden pro Quartal für die erneute Überprüfung, wenn Ironclad Features veröffentlicht, die die API-Oberfläche ändern.
Wie Erfolg aussieht
Drei Zahlen beobachten:
UI-Zeit-pro-Abfrage, durch Sampling gemessen: fünf wiederkehrende Abfragen auswählen, die das Team wöchentlich durchführt, in der Ironclad-UI vor dem Rollout zeitnehmen, dieselben fünf über Claude-Konversation nach dem Rollout zeitnehmen, dividieren. Ziel: 5x oder besser. Unter 2x amortisieren sich die Einrichtungskosten nicht.
Abschneidungs-Trigger-Rate, im Audit-Log beobachtbar: wie oft folgt ein Anwalt einem summarize_workflow-Aufruf mit einem expliziten get_document? Das richtige Band liegt bei etwa 20–50%. Über 70% bedeutet, dass der Abschneidungsdeckel zu aggressiv ist und Anwälte blockiert werden; unter 10% bedeutet, dass sie Metadaten akzeptieren, die die Frage eigentlich nicht beantworten.
Pro Woche hinzugefügte Kommentare.add_comment ist der einzige Write-Pfad, und es ist das einzige Signal, dass ein Anwalt auf das reagiert hat, was Claude aufgedeckt hat. Eine flache oder null Anzahl zwei Monate nach dem Rollout bedeutet, dass das Tool als reines Nachschlage-Convenience verwendet wird, was in Ordnung ist, aber die Privilege-Review-Kosten nicht rechtfertigt.
Vergleich mit Alternativen
Drei reale Möglichkeiten, jeweils mit einem klaren Kompromiss:
Ironclads native KI-Funktionen. Ironclad liefert Klausel-Extraktion und KI-Zusammenfassungs-Funktionen innerhalb des Produkts. Diese wählen, wenn Ihr Workflow in Ironclad bleibt und die Antworten zum Datensatz gehören. Diesen MCP-Server wählen, wenn die Antwort in einer Claude-Konversation landen muss, die auch in Mandatsverwaltungsnotizen, Ihre KI-Policy-Leitplanken, den Rest Ihrer Tool-Oberfläche greift — wenn also die Integration mit Claudes Reasoning der Wert ist, nicht die Vertragssuche selbst.
Anbieter-Legal-KI (Harvey, EvenUp usw.) Diese Anbieter liefern auf Rechtsdomänen vortrainierte Modelle über ihre eigenen Ingestion-Pipelines. Einen Anbieter wählen, wenn Sie standardmäßig privilegierte Workflows, anwaltsgrades Retrieval-Evaluation und Budget brauchen (mittlere fünfstellige Summen und mehr jährlich). Diesen MCP-Server wählen, wenn Ihre Modellpräferenz Claude ist, Ihre Ingestion Ironclad-nativ ist und Ihr Team klein genug ist, dass die Per-Seat-Preisgestaltung eines Anbieters nicht aufgeht.
Status quo: Anwälte klicken durch die Ironclad-UI. Das ist die ehrliche Baseline. Der MCP-Server schlägt sie nur, wenn das Abfragevolumen hoch genug ist, um die Privilege-Review- und Einrichtungskosten zu amortisieren. Unter ~20 Abfragen/Woche pro Anwalt gewinnt der Status quo.
Fallstricke
Das README des Bundles listet die vollständige Liste auf. Drei Fehlerszenarien sind es wert, hier aufgeführt zu werden, jeweils mit dem spezifischen Schutz:
Privilege-Leak durch versehentliches Body-Einschließen. Eine naive Implementierung von summarize_workflow würde den Dokumenttext inlinen. Schutz: summarize_workflow leitet jedes body-Feld durch truncate_body(), das bei IRONCLAD_TRUNCATE_AT deckelt und die Antwort mit _truncated_at kennzeichnet. Diesen Helfer zu erweitern erfordert die Bearbeitung eines Helpers, was der einzige Chokepoint ist, den ein Privilege-Reviewer prüfen muss.
Suchabfragen-Protokollierung, die Rechtsüberprüfungsstrategie offenbart. Das Protokollieren des Abfragestrings von search_records würde einen auffindbaren Datensatz erstellen, der zeigt, wonach das Team sucht — selbst privilegierte Metadaten. Schutz: log_invocation() akzeptiert nur Tool-Name und Ergebnis-Count; der Abfrage-String wird niemals in Logs geschrieben. Ihn wiederherzustellen erfordert eine Code-Änderung, die gegen die Privilege-Policy geprüft wird.
Fehlende OAuth-Aktualisierung des Gerüsts. Das Gerüst verwendet ein statisches Ironclad-Bearer-Token, das nicht granular widerrufen werden kann, wenn ein Anwalt die Kanzlei verlässt. Schutz (offen): Punkt 2 auf der TODO-Liste des Bundles kennzeichnet OAuth-with-Refresh als Pre-Production-Aufgabe. Bis das implementiert ist, den Token bei jedem Personalwechsel rotieren und das Static-Token-Deployment als Development-Only-Position behandeln.
Stack
Selbst gehosteter Python-MCP-Server (das Gerüst verwendet das offizielle mcp-SDK, httpx, pydantic) der mit der Ironclad Public API im Backend kommuniziert; Claude Desktop oder Code auf der Frontend-Seite. Optional: strukturiertes Logging via python-json-logger geleitet zu Ihrem Mandatsverwaltungs-Audit-Trail; Sentry oder OpenTelemetry-Export, mit Abfrage-Strings und Dokumenttexten bereinigt vor der Übertragung.
# mcp-server-ironclad-legal
An MCP server tuned for in-house legal teams using Ironclad CLM. Exposes workflows, records, and documents as Claude tools, plus two legal-helper queries (`clauses_by_type`, `expiring_contracts`), an audit-class summary (`summarize_workflow`), and one privileged write (`add_comment`). Read-mostly by design — drafts inside active workflows are typically privileged content, so the server defaults to metadata-only responses with explicit drill-down.
> **STATUS: scaffold — not runtime-tested.** The code below is structurally
> complete and follows the official `mcp` Python SDK conventions, but it
> has not been executed against a live Ironclad tenant. Treat it as a
> starting point you adapt to your tenant's workflow types, custom-field
> conventions, and clause-extraction model. The Ironclad public API
> surface (paths, response shapes, association labels) varies by tenant
> tier and feature flags.
## What it exposes
### Object-read tools (read-only)
- `get_workflow(workflow_id)` — workflow metadata, current step, participants
- `get_record(record_id)` — executed-contract record (post-signature repository entry)
- `get_document(document_id, version?)` — full document body for a specific version (explicit drill-down only)
### Search tools (read-only)
- `search_records(query, limit?)` — search the executed-contract repository
- `list_workflows(status?, type?)` — active workflows by status and workflow type
### Legal helpers (read-only)
- `clauses_by_type(workflow_id, clause_type)` — extracted clauses of a specific type (e.g. `indemnification`, `liability_cap`, `termination`) from a workflow's documents
- `expiring_contracts(window_days=90)` — records approaching renewal or expiration in the window, sorted by next-action date
### Audit-class tool (truncate-by-default)
- `summarize_workflow(workflow_id)` — metadata-only summary: counterparty, type, status, step history, participants, associated documents (IDs + titles only). Document body fetch is a separate explicit `get_document` call.
### Light writes (privileged)
- `add_comment(record_id, body)` — append a comment to a record. Comments inside Ironclad are themselves discoverable; this tool is the only write path on purpose.
The server **does not** expose `delete_*`, draft edits, workflow-stage transitions, or signer changes. Privileged content (drafts in active workflows, audit logs, redlines) flows through truncate-by-default responses; the user must request the body via an explicit second tool call. The principle: Claude can navigate, summarize, and annotate; the attorney drives every state-changing decision.
## Setup
### 1. Install
```bash
git clone <wherever you put this>
cd mcp-server-ironclad-legal
python -m venv .venv
source .venv/bin/activate # or .venv\Scripts\activate on Windows
pip install -e .
```
### 2. Create an Ironclad API token
In Ironclad: Admin → API Keys → Create. Grant read scope on workflows, records, and documents. Grant comment-write scope only if you intend to use `add_comment`. Copy the token.
The token is bearer-style — it bypasses Ironclad's per-user role permissions, so it sees everything the API key's role can see. Provision a service-account role with the narrowest scope your team can tolerate, not the broadest.
### 3. Configure environment
```bash
export IRONCLAD_API_TOKEN="ic_..."
export IRONCLAD_TRUNCATE_AT="4000" # chars per body in summary responses
export IRONCLAD_DEFAULT_WORKFLOW_TYPES="msa,nda,sow,dpa" # narrows list_workflows
```
`IRONCLAD_TRUNCATE_AT` is the character cap for any document-body field returned by `summarize_workflow`. Bodies above this length are truncated and the response includes a `_truncated_at` marker so Claude knows to issue a follow-up `get_document` call when the user explicitly asks.
### 4. Register with Claude Desktop
Edit `~/Library/Application Support/Claude/claude_desktop_config.json` (macOS) or `%APPDATA%\Claude\claude_desktop_config.json` (Windows):
```json
{
"mcpServers": {
"ironclad-legal": {
"command": "python",
"args": ["-m", "ironclad_legal_mcp.server"],
"env": {
"IRONCLAD_API_TOKEN": "ic_...",
"IRONCLAD_TRUNCATE_AT": "4000",
"IRONCLAD_DEFAULT_WORKFLOW_TYPES": "msa,nda,sow,dpa"
}
}
}
}
```
Restart Claude Desktop. You should see ~9 tools registered under `ironclad-legal`.
### 5. Sanity-check
Ask Claude: "Summarize workflow {known-id}." Confirm the response is metadata-only (no document body inline) and contains a `_truncated_at` marker on any body field. Then ask Claude: "Now get me the full body of document {id} from that workflow." Confirm the body is returned only after the explicit second call. Tune `IRONCLAD_TRUNCATE_AT` until the metadata responses are useful for navigation but not large enough to ship privileged drafts inadvertently.
## Watch-outs
- **Drafts inside active workflows are typically privileged.** A draft MSA mid-redline is attorney work product. The truncate-by-default posture in `summarize_workflow` is the guard — never widen it without an explicit per-team policy review. If your team's matter-management policy treats some draft classes as non-privileged, configure `IRONCLAD_TRUNCATE_AT=999999` per-deployment, not per-tool.
- **The audit log is itself privileged content.** Ironclad's audit log records who looked at what when — surfacing it through an MCP tool would let Claude reason over privileged metadata. This server intentionally does not expose audit-log queries. If you need audit-log access, build a separate tool with a documented legal-hold exception path, not through this scaffold.
- **Search query metadata reveals legal strategy.** "Find all MSAs with uncapped indemnification" is a query whose existence — even without results — discloses the team's review priorities. The dispatch logs only timestamps, user IDs, and result counts (never the query string itself). Do not patch the dispatch to log query text without a privilege review; doing so creates a discoverable record of legal strategy.
- **Bearer tokens bypass per-user permissions.** Anyone with access to the MCP client sees every record the API key's role can reach. Provision the service-account role narrowly and document it with your security team.
- **Clause extraction is model-dependent.** Ironclad's clause extraction may miss non-standard clause headings or clauses inside attachments. `clauses_by_type` returns whatever Ironclad surfaces — never use it as the sole source for compliance attestations.
## Limits and TODOs (before production use)
- [ ] Validate the Ironclad public API base path against your tenant's actual endpoint — some tiers use a regional subdomain.
- [ ] Implement OAuth-with-refresh in place of the static bearer token. Static tokens cannot be revoked granularly when an attorney leaves; OAuth refresh + per-user delegation is the production posture.
- [ ] Add request-level retries with exponential backoff (Ironclad rate-limits aggressively under burst load).
- [ ] Wire structured logging via `python-json-logger` and pipe to your matter-management audit trail.
- [ ] Add a privilege-tag enforcement layer: refuse to return any document marked `privileged: true` in custom properties, even via explicit `get_document`, unless the user passes a documented `--privilege-acknowledged` flag.
- [ ] Write integration tests against an Ironclad sandbox.
- [ ] Add Sentry / OpenTelemetry export — but scrub query strings and document bodies before transmission.
"""
ironclad-legal-mcp — MCP server tuned for in-house legal teams using Ironclad.
Exposes object-read tools (workflows, records, documents), search tools,
two legal helpers (clauses_by_type, expiring_contracts), one audit-class
summary (summarize_workflow, truncate-by-default), and one privileged
write (add_comment). Read-mostly by design — drafts inside active
workflows are typically privileged work product, so document bodies are
truncated by default and the user must request the full body via an
explicit second tool call.
STATUS: scaffold — not runtime-tested. Adapt the workflow type names,
clause-type vocabulary, custom-property paths, and (in particular) the
public API base path to your tenant before use. Some Ironclad tiers use
a regional subdomain.
Run as: python -m ironclad_legal_mcp.server
"""
from __future__ import annotations
import logging
import os
from datetime import datetime, timedelta, timezone
from typing import Any
import httpx
from mcp.server import Server
from mcp.server.stdio import stdio_server
from mcp.types import TextContent, Tool
# ----- Configuration (read from env at startup) -----
IRONCLAD_API_TOKEN = os.environ.get("IRONCLAD_API_TOKEN")
TRUNCATE_AT = int(os.environ.get("IRONCLAD_TRUNCATE_AT", "4000"))
DEFAULT_WORKFLOW_TYPES = [
s.strip()
for s in os.environ.get("IRONCLAD_DEFAULT_WORKFLOW_TYPES", "").split(",")
if s.strip()
]
API_BASE = "https://ironcladapp.com/public/api/v1"
# Privilege-aware logger: NEVER include query strings, document bodies, or
# clause text in log records. Only metadata: timestamp, user, tool name,
# result count. Surfacing query text would create a discoverable record
# of legal review strategy.
audit_log = logging.getLogger("ironclad_legal_mcp.audit")
def require_config() -> None:
if not IRONCLAD_API_TOKEN:
raise RuntimeError("IRONCLAD_API_TOKEN env var is required")
def auth_headers() -> dict[str, str]:
return {
"Authorization": f"Bearer {IRONCLAD_API_TOKEN}",
"Content-Type": "application/json",
}
def log_invocation(tool: str, result_count: int | None = None) -> None:
"""Metadata-only audit record. Never includes query text or body."""
audit_log.info(
"tool=%s ts=%s results=%s",
tool,
datetime.now(timezone.utc).isoformat(),
result_count if result_count is not None else "n/a",
)
def truncate_body(body: str | None) -> dict[str, Any]:
"""Return a body field that is truncated to TRUNCATE_AT chars, with a
`_truncated_at` marker so Claude knows to issue a follow-up
explicit get_document call when the user asks for the full text."""
if body is None:
return {"text": None, "_truncated_at": None}
if len(body) <= TRUNCATE_AT:
return {"text": body, "_truncated_at": None}
return {
"text": body[:TRUNCATE_AT],
"_truncated_at": TRUNCATE_AT,
"_full_length": len(body),
"_hint": "Call get_document(document_id, version) for the full body.",
}
# ----- Ironclad HTTP helpers -----
async def ic_get(path: str, params: dict[str, Any] | None = None) -> dict[str, Any]:
async with httpx.AsyncClient(timeout=30.0) as client:
r = await client.get(f"{API_BASE}{path}", headers=auth_headers(), params=params)
r.raise_for_status()
return r.json()
async def ic_post(path: str, body: dict[str, Any]) -> dict[str, Any]:
async with httpx.AsyncClient(timeout=30.0) as client:
r = await client.post(f"{API_BASE}{path}", headers=auth_headers(), json=body)
r.raise_for_status()
return r.json()
# ----- Server + tool registry -----
server = Server("ironclad-legal")
@server.list_tools()
async def list_tools() -> list[Tool]:
return [
Tool(
name="get_workflow",
description=(
"Fetch workflow metadata, current step, and participant list "
"by workflow ID. Does not include document bodies — use "
"summarize_workflow for that, then get_document for full text."
),
inputSchema={
"type": "object",
"properties": {"workflow_id": {"type": "string"}},
"required": ["workflow_id"],
},
),
Tool(
name="get_record",
description=(
"Fetch an executed-contract record (post-signature repository "
"entry) by record ID. Returns metadata + linked document IDs."
),
inputSchema={
"type": "object",
"properties": {"record_id": {"type": "string"}},
"required": ["record_id"],
},
),
Tool(
name="get_document",
description=(
"Fetch the full body of a document at a specific version. "
"This is the explicit drill-down call the user must request "
"after seeing a truncated body in summarize_workflow."
),
inputSchema={
"type": "object",
"properties": {
"document_id": {"type": "string"},
"version": {"type": "string"},
},
"required": ["document_id"],
},
),
Tool(
name="search_records",
description=(
"Search the executed-contract repository by free-text query. "
"Query string is NOT logged; only timestamp, user, and "
"result count are recorded."
),
inputSchema={
"type": "object",
"properties": {
"query": {"type": "string"},
"limit": {"type": "integer", "default": 25},
},
"required": ["query"],
},
),
Tool(
name="list_workflows",
description=(
"List active workflows, optionally filtered by status (e.g. "
"'in_review', 'awaiting_signature') and type (e.g. 'msa', "
"'nda'). When type is omitted, IRONCLAD_DEFAULT_WORKFLOW_TYPES "
"is used if set."
),
inputSchema={
"type": "object",
"properties": {
"status": {"type": "string"},
"type": {"type": "string"},
"limit": {"type": "integer", "default": 50},
},
},
),
Tool(
name="clauses_by_type",
description=(
"Return extracted clauses of a specific type (e.g. "
"'indemnification', 'liability_cap', 'termination', "
"'governing_law') from the documents attached to a workflow. "
"Backed by Ironclad's clause-extraction model — coverage is "
"best-effort, not authoritative for compliance attestations."
),
inputSchema={
"type": "object",
"properties": {
"workflow_id": {"type": "string"},
"clause_type": {"type": "string"},
},
"required": ["workflow_id", "clause_type"],
},
),
Tool(
name="expiring_contracts",
description=(
"Return executed-contract records approaching renewal or "
"expiration within window_days, sorted by next-action date "
"ascending."
),
inputSchema={
"type": "object",
"properties": {"window_days": {"type": "integer", "default": 90}},
},
),
Tool(
name="summarize_workflow",
description=(
"Metadata-only summary of a workflow: counterparty, type, "
"status, step history, participants, document IDs + titles. "
"Document bodies are truncated to IRONCLAD_TRUNCATE_AT chars "
"with a _truncated_at marker. Use get_document for full text."
),
inputSchema={
"type": "object",
"properties": {"workflow_id": {"type": "string"}},
"required": ["workflow_id"],
},
),
Tool(
name="add_comment",
description=(
"Append a comment to an executed-contract record. The only "
"write path exposed by this server. Comments are themselves "
"discoverable inside Ironclad — write nothing here you would "
"not write directly in the Ironclad UI."
),
inputSchema={
"type": "object",
"properties": {
"record_id": {"type": "string"},
"body": {"type": "string"},
},
"required": ["record_id", "body"],
},
),
]
# ----- Tool dispatch -----
@server.call_tool()
async def call_tool(name: str, arguments: dict[str, Any]) -> list[TextContent]:
require_config()
if name == "get_workflow":
data = await ic_get(f"/workflows/{arguments['workflow_id']}")
log_invocation("get_workflow", 1)
return [TextContent(type="text", text=str(data))]
if name == "get_record":
data = await ic_get(f"/records/{arguments['record_id']}")
log_invocation("get_record", 1)
return [TextContent(type="text", text=str(data))]
if name == "get_document":
params: dict[str, Any] = {}
if v := arguments.get("version"):
params["version"] = v
data = await ic_get(f"/documents/{arguments['document_id']}", params or None)
log_invocation("get_document", 1)
return [TextContent(type="text", text=str(data))]
if name == "search_records":
body = {
"query": arguments["query"],
"limit": arguments.get("limit", 25),
}
result = await ic_post("/records/search", body)
# Log result count only — never the query string itself.
log_invocation("search_records", len(result.get("results", [])))
return [TextContent(type="text", text=str(result))]
if name == "list_workflows":
params: dict[str, Any] = {"limit": arguments.get("limit", 50)}
if status := arguments.get("status"):
params["status"] = status
wf_type = arguments.get("type")
if wf_type:
params["type"] = wf_type
elif DEFAULT_WORKFLOW_TYPES:
params["type"] = ",".join(DEFAULT_WORKFLOW_TYPES)
result = await ic_get("/workflows", params)
log_invocation("list_workflows", len(result.get("workflows", [])))
return [TextContent(type="text", text=str(result))]
if name == "clauses_by_type":
wf = await ic_get(
f"/workflows/{arguments['workflow_id']}",
{"include": "documents,clauses"},
)
clause_type = arguments["clause_type"].lower()
# Filter the workflow's surfaced clauses by type. Body of each
# clause is left intact (clauses are short; truncation is for
# full document bodies). If a downstream tenant has very long
# clauses, fold truncate_body() over the `text` field here.
clauses = []
for doc in wf.get("documents", []):
for c in doc.get("clauses", []):
if c.get("type", "").lower() == clause_type:
clauses.append(
{
"document_id": doc.get("id"),
"document_title": doc.get("title"),
"clause_type": c.get("type"),
"text": c.get("text"),
"page": c.get("page"),
}
)
log_invocation("clauses_by_type", len(clauses))
return [TextContent(type="text", text=str({"clauses": clauses}))]
if name == "expiring_contracts":
window_days = arguments.get("window_days", 90)
cutoff = datetime.now(timezone.utc) + timedelta(days=window_days)
body = {
"filters": [
{
"property": "next_action_date",
"operator": "LTE",
"value": cutoff.isoformat(),
},
{
"property": "status",
"operator": "IN",
"values": ["active", "auto_renewing"],
},
],
"sort": [{"property": "next_action_date", "direction": "ASC"}],
"limit": 200,
}
result = await ic_post("/records/search", body)
log_invocation("expiring_contracts", len(result.get("results", [])))
return [TextContent(type="text", text=str(result))]
if name == "summarize_workflow":
wf = await ic_get(
f"/workflows/{arguments['workflow_id']}",
{"include": "documents,participants,history"},
)
# Build a metadata-only summary. Any document body present is
# passed through truncate_body() so the response includes a
# _truncated_at marker that Claude reads as a hint to call
# get_document explicitly when the user asks for the full text.
summary = {
"id": wf.get("id"),
"type": wf.get("type"),
"status": wf.get("status"),
"counterparty": wf.get("counterparty"),
"current_step": wf.get("current_step"),
"participants": [
{"id": p.get("id"), "role": p.get("role"), "email": p.get("email")}
for p in wf.get("participants", [])
],
"step_history": wf.get("history", []),
"documents": [
{
"id": d.get("id"),
"title": d.get("title"),
"version": d.get("version"),
"body_preview": truncate_body(d.get("body")),
}
for d in wf.get("documents", [])
],
}
log_invocation("summarize_workflow", len(summary["documents"]))
return [TextContent(type="text", text=str(summary))]
if name == "add_comment":
body = {
"body": arguments["body"],
"created_at": datetime.now(timezone.utc).isoformat(),
}
result = await ic_post(
f"/records/{arguments['record_id']}/comments", body
)
log_invocation("add_comment", 1)
return [
TextContent(
type="text",
text=f"Added comment {result.get('id')} to record {arguments['record_id']}",
)
]
raise ValueError(f"Unknown tool: {name}")
# ----- Entrypoint -----
async def main() -> None:
require_config()
async with stdio_server() as (read, write):
await server.run(read, write, server.create_initialization_options())
if __name__ == "__main__":
import asyncio
asyncio.run(main())
