MCP协议示意图

在前篇文章中,我们介绍了如何在Claude中实际使用MCP(Model Context Protocol)协议。通过与Gmail和Notion的联动,彻底摆脱了繁琐的复制粘贴操作,这种体验一旦尝试便难以回头。

本篇将从更广的视角出发,探讨MCP协议面临的挑战、当前的发展状况以及未来的演进方向。

MCP协议诞生及主要厂商的响应,标准化进程加速

MCP的诞生源于日本Anthropic公司工程师David Soria Parra对在IDE和AI聊天界面之间反复复制代码和上下文的繁琐感到厌烦。2024年11月,Anthropic将MCP开源,配套发布了Python和TypeScript的SDK,并提供了Google Drive、Slack、GitHub、PostgreSQL等主流服务的参考服务器。

起初业界对这一新标准反应冷淡,但转机很快到来。2025年3月26日,OpenAI CEO Sam Altman在社交媒体上宣布全面支持MCP协议。同月,MCP发布了新版本,引入了Streamable HTTP传输和基于OAuth 2.1的认证框架。随后,Google DeepMind、AWS、微软等纷纷宣布支持MCP。

截至2026年3月,MCP SDK月下载量高达9700万次,全球已有超过一万种MCP服务器上线,ChatGPT、Claude、Gemini、微软Copilot等知名AI均已采用该协议。MCP之所以能迅速普及,关键在于其放弃了企业独占的封闭标准,转向开放的国际标准。

2025年底,MCP的管理权从Anthropic转交给了Linux Foundation旗下的中立国际组织“Agentic AI Foundation(AAIF)”,这使得竞争激烈的企业能够放心将MCP作为自家AI的统一标准。

安全问题频发,60天内报告30余个漏洞

然而,技术的快速发展也带来了安全隐患。2026年1月至2月短短60天内,MCP相关系统被官方报告了30多起安全漏洞,涵盖从机密文件泄露到下载量达44万次的程序中存在的完全系统接管漏洞。

这些问题并非AI特有的新型攻击,而是传统安全漏洞,如数据验证不足和权限管理松懈。对7000多个MCP服务器的调查显示,缺乏严格审核流程导致大量服务器易被攻破,风险远超预期。

尤其令人震惊的是,Anthropic官方示例代码中也发现了3处缺陷,攻击者无需直接入侵,只需让AI读取含恶意指令的公开信息即可发动攻击。

MCP面临的主要攻击方式包括:

  • “工具中毒”:向联动工具注入恶意指令窃取数据
  • “提示注入”:通过公开信息植入攻击命令,诱使AI泄露内部数据
  • “延迟拉取”:用户授权后悄然替换恶意操作

针对这些风险,国际组织OWASP发布了MCP专属的“十大风险”清单。MCP虽便利,但安全不自动保障,企业在部署时必须严格执行数据验证、最小权限原则和工具管理,且所有关键操作必须由人工最终确认。

安全风险示意图

MCP Apps带来的用户体验革命

传统MCP只能以文本形式返回工具执行结果。例如,从数据库获取数百条销售数据时,AI只能文本摘要或用户反复输入指令调整显示内容。

2026年1月,首个官方扩展“MCP Apps”发布,允许MCP服务器在AI聊天界面直接渲染交互式UI组件,如仪表盘、输入表单和数据可视化控件。

举例来说,用户请求“帮我找Canva上上个月做的活动图片”,传统MCP只返回文件名和URL列表,用户需逐一打开确认。而支持MCP Apps的客户端则直接在聊天窗口显示带缩略图的卡片列表,用户可直观选择并一键编辑或导出。

MCP Apps示例

同样,从内部数据库调取销售趋势时,聊天界面直接呈现折线图,用户可通过滑块调整时间段,数据实时更新。MCP Apps将AI对话界面转变为应用操作界面,极大提升了工作效率。

目前,ChatGPT、Claude、Visual Studio Code等多款主流客户端已支持MCP Apps。对开发者而言,开发一次富交互UI的MCP应用即可跨平台运行,极大促进了MCP生态系统的扩展。

MCP未来重点:从“AI与工具连接”转向“AI间协作”

2026年3月发布的MCP最新路线图指出,未来开发将聚焦四大领域:

  1. 构建大规模且稳定的通信系统,优化负载均衡,标准化元数据格式以便预先了解服务器功能。
  2. 加强AI间的横向通信,推动AI与AI的协作,区别于Google的A2A协议,MCP赋予AI“工具”,A2A则赋予AI“同事”,两者互补。
  3. 完善开发社区规则,明确权限提升和团队管理机制,保障项目健康发展。
  4. 扩展企业级支持,开发审计日志、单点登录等安全基础设施,满足企业级应用需求。

从路线图可见,MCP的关注点已从“如何连接AI与外部”转向“如何安全管理连接的AI”,这与企业IT管理者的需求高度契合,强调控制与安全胜过单纯的连接能力。

生成式AI单独智能有限,唯有安全连接内部数据和外部服务,才能发挥真正的商业价值。MCP正是实现这一连接的标准工具。建议大家先在Claude或ChatGPT中尝试与现有MCP服务器联动,体验告别手动复制粘贴的便捷感。

作者简介:柳谷智宣

柳谷智宣

IT与商业领域资深撰稿人,拥有26年职业生涯,涉猎数字设备、网络服务、消费品及企业产品。近年来专注于AI、SaaS和数字化转型领域。日常撰写大量稿件,已离不开生成式AI的辅助。

  • 作者网站:https://prof.yanagiya.biz/