概览
MCP 为应用程序提供了一种标准化方式,以实现以下目标:- 与语言模型共享上下文信息
- 向 AI 系统暴露工具和功能
- 构建可组合的集成和工作流
- 主机(Hosts):启动连接的 LLM 应用程序
- 客户端(Clients):主机应用程序内的连接器
- 服务器(Servers):提供上下文和功能的服务
关键细节
基础协议
- JSON-RPC 消息格式
- 有状态连接
- 服务器与客户端的能力协商
功能
服务器可以向客户端提供以下任意功能:- 资源(Resources):供用户或 AI 模型使用的上下文和数据
- 提示(Prompts):用于用户的模板化消息和工作流
- 工具(Tools):AI 模型可执行的函数
- 采样(Sampling):服务器发起的代理行为和递归 LLM 交互
- 根目录(Roots):服务器发起的对 URI 或文件系统边界的查询以确定操作范围
- 信息获取(Elicitation):服务器发起的向用户请求额外信息
附加工具
- 配置管理
- 进度跟踪
- 操作取消
- 错误报告
- 日志记录
安全性与信任安全
Model Context Protocol 通过任意数据访问和代码执行路径启用了强大的功能。这种能力带来了重要的安全性和信任考量,所有实现者都必须认真应对。关键原则
-
用户同意与控制
- 用户必须明确同意并理解所有的数据访问和操作
- 用户必须保留对共享数据和执行操作的控制权
- 实现者应提供清晰的用户界面以供审查和授权活动
-
数据隐私
- 主机在将用户数据暴露给服务器之前必须获得用户的明确同意
- 主机在未获得用户同意的情况下不得将资源数据传输到其他地方
- 用户数据应通过适当的访问控制加以保护
-
工具安全
- 工具代表任意代码执行,必须谨慎对待。
- 特别是,工具行为的描述(如注释)除非来自可信服务器,否则应视为不可信。
- 主机在调用任何工具之前必须获得用户的明确同意
- 用户在授权使用工具前应清楚每个工具的功能
- 工具代表任意代码执行,必须谨慎对待。
-
LLM 采样控制
- 用户必须明确批准任何 LLM 采样请求
- 用户应控制:
- 是否进行采样
- 实际发送的提示内容
- 服务器可以看到哪些结果
- 该协议有意限制服务器对提示的可见性
实现指南
虽然 MCP 本身无法在协议层面强制执行这些安全原则,但实现者应:- 在其应用程序中构建稳健的同意和授权流程
- 提供清晰的安全影响文档
- 实现适当的访问控制和数据保护措施
- 在集成中遵循最佳安全实践
- 在功能设计中考虑隐私影响