一、什么是模型上下文协议(MCP)?
模型上下文协议(MCP)是一个开放标准和开源框架,由 Anthropic 在 2024 年末推出,用于将 AI 模型(例如 LLM)与外部世界的数据和工具连接起来。
本质上,MCP 为 AI 助手提供了一个通用接口,使其能够安全地从数据库或文件中读取、调用外部 API/函数,并将丰富上下文纳入其推理之中。
它被创建是为了解决 AI 系统中臭名昭著的" M×N 集成问题"。
在 MCP 之前,将 M 个不同的 AI 应用连接到 N 个不同的数据源,往往意味着要编写 M×N 个定制连接器和插件------集成工作呈组合爆炸式增长。
MCP 通过在客户端(AI 应用或智能体)和服务器端(数据/工具连接器)定义单一协议,消除了这种混乱。
每一侧各实现一次,任何符合规范的 AI 客户端就能与任何符合规范的工具服务器通信------有点像用于连接任何模型与任何资源的"AI 的 USB-C"。
从高层来看,MCP 的架构借鉴了开发者工具中使用的语言服务器协议(LSP)。
AI 应用充当 MCP 客户端,与暴露外部能力的 MCP 服务器建立一个双向 JSON-RPC 连接。
通过这个通道,AI 可以以标准化格式请求上下文(文件、数据库条目、消息),并调用工具/函数。
该协议通过多种传输方式(最初是 STDIO 和 HTTP)使用 JSON-RPC 2.0 消息,来在客户端与服务器之间维持一段有状态的对话。
这意味着 AI 助手可以向数据源提问、检索信息或执行某项操作,而服务器可以响应,甚至在需要时提示 AI 提供更多细节。
关键在于,MCP 与模型无关且与平台无关------到 2025 年,它不仅被 Anthropic 的 Claude 原生支持,也被 OpenAI 的 ChatGPT、Google DeepMind 的系统、Microsoft 的 Copilot 以及许多其他系统原生支持。
这种广泛采用使 MCP 成为一种通用适配器,用于将 AI 模型连接到它们所需的工具与上下文。
MCP 工作流将 AI 主机(客户端)连接到提供工具、资源和提示词的服务器。
这种标准化的客户端---服务器架构,使 AI 助手能够通过一个通用协议接入多种外部系统。
二、早期发展与愿景(2024 年末)
MCP 源自 Anthropic 的一个认识:AI 助手"被困在信息孤岛之后"------每一个新数据源都需要一个自定义集成,从而阻碍可扩展性。
2024 年 11 月 25 日,Anthropic 正式将 MCP 开源(规范版本 2024--11--05),并发布了 Python 和 TypeScript 的初始 SDK。
从第一天起,重点就是简单性与通用性:MCP 定义了一组最小操作,使客户端与服务器能够交换能力与数据,并复用来自 Web 与 IDE 协议的成熟模式。
初始版本允许 AI 客户端(如聊天助手或编程 AI)通过一个简单的 STDIO 流连接到本地 MCP 服务器,这非常像编辑器与语言服务器通信的方式。
这足以覆盖早期用例:AI 与数据源都运行在同一台机器或同一环境中。
尽管起步朴素,MCP 的承诺很清晰。
早期采用者将其视为一种避免为每个工具编写一次性连接器的方法。
像 Block(原 Square)和 Apollo 这样的公司很快就集成了 MCP,而 Anthropic 还为常见系统(Google Drive、Slack、GitHub、数据库等)提供了参考服务器,以便开发者轻松上手。
到 2024 年末,甚至在任何重大版本更新之前,社区就创建了一大批自定义 MCP 服务器,把各种应用连接起来。
仅仅几个月内(到 2025 年 2 月),就已有超过 1,000 个由社区构建的 MCP 服务器可用,展示了开发者把 AI 智能体与从代码仓库到 SaaS 应用等各种东西连接起来的强烈意愿。
跨不同工具维护上下文的概念不再是科幻------MCP 正在让 AI 智能体能够把知识从例如 Google Docs 文档无缝带到 GitHub 仓库中,全部通过一个标准化协议完成。
三、贯穿 2025 年的快速演进
一旦 MCP 进入开发者手中,下一个挑战就是将其打磨到更广泛的真实世界使用场景。
2025 年出现了多个 MCP 版本升级,每次都在连接性、安全性和功能方面带来显著改进:
1、2025 年 3 月 26 日------第一次重大更新:
2025--03--26 的 MCP 规范(基本上是 MCP v2)是一个改变游戏规则的版本,它将 MCP 扩展到了本地环境之外。
它引入了新的可流式 HTTP 传输,使 AI 客户端能够通过 Web 连接到远程 MCP 服务器,并通过服务器发送事件流(server-sent event streaming)获得实时响应。
这意味着组织可以在云端或以微服务形式运行 MCP 服务器,而 AI 智能体可以通过 HTTP 在规模化场景下消费这些服务。
同时,这次更新推出了一个完整的基于 OAuth 2.1 的授权框架,将 MCP 的安全模型升级为可用于生产环境。
MCP 服务器现在被视为受保护的 OAuth 资源服务器,能够提供健壮的认证流程与基于令牌的安全性。
简而言之,3 月发布让 MCP 具备了云就绪能力------你可以把内部数据库的 MCP 连接器部署到服务器上,用 OAuth 进行保护,并让 AI 智能体以标准化、可流式的方式远程访问它。
不出所料,这引发了采用激增:同一天,OpenAI 的 CEO 公开认可 MCP,并宣布在 OpenAI 的 agents SDK 和 ChatGPT 产品中提供官方支持。
几天后,Google DeepMind 确认他们即将推出的 Gemini 模型也将支持 MCP 用于工具使用。
该协议迅速成为 AI 模型与外部系统对话的默认方式。
2、2025 年 4 月--5 月------生态系统增长:
在 3 月规范之后,MCP 生态系统爆发式增长。
到 4 月,社区的 MCP 服务器目录超过了 5,800 个连接器,覆盖了大量工具和平台。
主要科技公司加入以简化 MCP 集成:例如,Docker 在 2025 年 4 月推出了 MCP Catalog 和 Toolkit,帮助开发者像启动容器一样轻松部署 MCP 服务器。
这包括一键部署以及一个经过验证的 MCP 连接器注册表(Stripe、Elastic、New Relic 等知名公司贡献了官方集成)。
到 2025 年 5 月,Microsoft 宣布在 Windows 11 的"Agentic OS"功能中原生支持 MCP,并将 MCP 纳入其 Copilot 可扩展性的一部分,这表明操作系统本身也在为 AI 与 MCP 的未来做准备。
仅在两个季度内,MCP 就从一个实验变成了整个行业广泛接受的标准。
3、2025 年 6 月 18 日------安全与结构增强:
2025--06--18 的规范修订(MCP v3)聚焦于加固安全并为高级使用添加更丰富功能。
一个重大变化是在某些方面使 OAuth 成为强制要求:MCP 服务器被明确归类为 OAuth 资源服务器,客户端被要求使用资源指示符(RFC 8707),以确保流氓服务器无法诱使 AI 泄露用于另一项服务的令牌。
这次更新还带来了结构化工具输出,使通过 MCP 调用的工具能够返回机器可读的结果对象,而不仅仅是文本。
结构化输出使更复杂的工具链成为可能------AI 能更可靠地解析一次工具调用的结果并将其输入到下一次调用中。
此外,这个 2025 年中期版本添加了一个名为"elicitation"的特性,它允许 MCP 服务器在操作过程中主动向用户(或 AI)请求更多信息。
例如,如果 AI 通过 MCP 请求一条数据库记录,而服务器需要一个过滤参数,它可以提示 AI/客户端进行澄清------从而通过交互式往返实现更细粒度的上下文解析。
这些想法(结构化输出、elicitation 等)很多都直接来自早期用户反馈,以及对更具上下文感知的操作的需求。
到这个时候,正式的治理模型也已建立------在 2025 年 7 月,该项目引入了规范增强提案(SEP)流程和工作组,以确保 MCP 的快速增长由开放社区而非任何单一公司来引导。
4、2025 年末------成熟与高级能力:
当 MCP 接近一周年时,它真正巩固了其作为 AI 工具集成"事实标准"的地位。
2025 年 11 月 25 日(纪念 MCP 一周年)的一次重大规范发布引入了强大的新能力。
其中,新增了用于长时间运行操作的 Tasks API,使 AI 智能体能够通过 MCP 启动异步作业,并在稍后回来检查结果。
这一"异步编排"特性对于扩展 AI 工作流至关重要------例如,让智能体启动一个数据处理任务或多步骤工具调用,而不阻塞交互会话。
周年发布还包括客户端 ID 元数据文档(CIMD),以简化客户端注册与信任,使将新的 AI 客户端安全接入 MCP 网络更容易。
到这时,MCP Registry(可用服务器的全局目录)已增长到数千条目,并正在成为用于发现上下文提供者的重要生态组成部分。
与此同时,MCP 的采用曲线持续上升。
到 2025 年 12 月,Anthropic 报告 MCP 在所有语言的 SDK 月下载量超过 9,700 万------一个惊人的数字,凸显开发者接受这一标准的速度之快。
有超过 10,000 个活跃的 MCP 服务器在生产中使用,并且有数百个不同的 AI 客户端集成了 MCP。
几乎每个主要 AI 平台或开发工具都具备某种程度的 MCP 支持,从 VS Code 和 Cursor 等 IDE,到云服务与数据库,再到 ChatGPT 与 Claude 等流行 LLM。
为确保长期可持续性与中立性,Anthropic 在 2025 年 12 月将 MCP 捐赠给 Linux Foundation 下新成立的 Agentic AI Foundation。
这一举措得到 Block、OpenAI、AWS、Google、Microsoft 等其他创始成员支持,标志着 MCP 不再只是某一家公司项目------它已成为 AI 时代的社区驱动基础设施。
四、MCP 生态系统的现状与未来发展
在经历第一个疯狂的一年之后,MCP 进入 2026 年,成为一个成熟但仍在演进的生态系统。
其核心架构------AI 主机与上下文服务器之间的有状态 JSON-RPC 管道------已被证明有效,但规模化的新需求正在引导下一阶段发展。
一个活跃重点是改进编排与可扩展性。
早期 MCP 依赖持久连接(例如每个客户端-服务器对对应一个长期存在的 HTTP 会话),这在每天数百万请求的场景下给负载均衡和云扩展带来挑战。
社区正在探索更无状态或分布式的传输选项,以减少"粘性会话"瓶颈,并更好地支持水平扩展(使 AI 智能体更容易连接到一组上下文服务器,而不受状态问题影响)。
我们可以期待诸如优化的 WebSocket 支持或无连接请求模式等增强,这些增强在保持 MCP 交互性的同时,为托管部署消除摩擦。
另一个优先事项是实现对多步骤任务与多智能体工作流更丰富的编排。
MCP 已经添加了用于长时间运行动作的 Tasks API,但路线图表明还将进一步开展异步与多智能体协作方面的工作。
这可能意味着对 AI 智能体协调多个 MCP 服务器按序执行,甚至不同 AI 智能体通过 MCP 通信(A2A,agent-to-agent,智能体到智能体的集成)的一级支持。
在实践中,这将转化为 AI 系统能够处理更复杂的"作业"------例如,一个智能体可能使用 MCP 从多个来源收集数据、调用几个工具并编译结果,全部通过标准化 MCP 调用编排,并可能在步骤之间进行中间上下文共享。
MCP 规范维护者也在讨论面向特定领域需求的"官方扩展"(例如标准化医疗数据连接器或金融合规检查)。
这些扩展将通过为这些领域的常见模式定制 MCP,提供更细粒度的上下文解析,从而使 AI 能以最小开销检索到它所需要的确切上下文。
在 MCP 进入中立治理之后,互操作性与模型无关设计仍然是核心原则。
协议演进正在强调对上下文与安全的更细粒度控制。
例如,未来 MCP 版本很可能会纳入更多可发现性特性------例如用于服务器元数据与能力的标准化 .well-known 端点------使 AI 客户端能够自动发现某个 MCP 服务器提供什么(哪些工具/资源、需要什么认证等)。
这通过让 AI 动态判断如何最好地使用可用服务器,增强了上下文解析。
我们还将看到在更好上下文管理方面的工作,例如缓存策略、大资源的部分检索,以及多模态上下文支持(其中一些由诸如 MCP-Apps 用于 UI 嵌入等提案所暗示,它将允许服务器向用户呈现丰富的交互式内容)。
此外,MCP 作为统一层的性质意味着模型互联几乎是内置的------不同 AI 模型都可以在同一个 MCP 可访问工具的场域中运作。
未来,这可能支持诸如一个 AI 智能体通过 MCP 介导的工具将任务移交给更专业的模型,或多个模型协作地填充并使用同一个上下文存储。
方向很明确:MCP 正在成为连接组织中的"结缔组织",让一群 AI 智能体与服务能够协同工作、安全共享上下文,并通过通用接口发挥彼此优势。
对于希望深入实现细节或扩大 MCP 使用规模的开发者而言,推荐的方法是使用 MCP 网关。
MCP 网关本质上是一个编排层或代理,位于 AI 智能体与多个 MCP 服务器之间,用来抽象复杂性。
AI 客户端无需管理与数十个服务器的单独连接,它只需与网关对话,网关再把请求路由到正确的服务器、处理并行调用、聚合结果并执行策略。
例如,网关为本地与远程服务器协商能力并处理连接管理(无论它们通过 stdio 还是 HTTP 通信)。
这种单一入口点设计极大简化了大规模部署------AI 智能体将网关当作一个大型 MCP 服务器,它"神奇地"拥有所有工具与数据。
在底层,网关处理每个后端服务器的认证、日志、负载均衡以及协议差异。
简而言之,MCP 网关充当上下文提供者的中央控制平面,这在生产环境中极其宝贵。
官方 MCP 网关(社区中有时称为 MCP ContextForge 或类似名称)可以支持高级特性,例如多个网关的联邦、将传统 REST API 虚拟化为 MCP 服务器、缓存响应,以及提供用于监控的管理 UI。
虽然具体细节超出本文范围,但重要的是要注意:对于深度集成与大规模编排,使用 MCP 网关就是正确方式------它实现了严肃应用所需要的细粒度路由、安全执行以及多服务器协作。
网关有效地把 MCP 的最佳实践封装成一个可直接使用的组件,使开发者能够专注于构建 AI 功能,而不是重复发明集成逻辑。
(关于 MCP 网关使用的详细指导,请参阅 MCP 网关文档或 MCP 项目的资源------网关本身是一个丰富且独立的话题。)
五、Peta:用于 MCP 编排的智能体原生保管库与网关
随着组织使用 MCP 部署更多 AI 智能体,一个新挑战出现了:以动态、可扩展的方式管理密钥与访问控制。
这就引出了 Peta------一个现代工具,将密钥保管库与 MCP 网关结合,专为 AI 智能体生态系统构建。
把 Peta 想象成某种"给 AI 智能体用的 1Password",但它不仅仅存储密码------它主动代理并编排智能体对这些密钥及相应外部服务的访问。
Peta 于 2025 年末推出,作为一种轻量级、可自托管的方案,帮助团队通过 MCP 安全地将 AI 智能体连接到私有 API、数据库与服务。
它与 MCP 协议紧密集成,因此从智能体的视角看,Peta 就像另一个暴露了一些工具的 MCP 服务器------但在幕后,Peta 充当安全代理,注入凭证、执行策略并保护你的密钥。
那么,Peta 具体能做什么,它如何与 MCP 协同工作?
在核心上,Peta 在 AI 工作流中的密钥管理上实现了零信任方法。
智能体不会获得原始 API key 或数据库密码(这些可能在智能体被攻破或遭提示注入时泄露),而只获得一个短期的认证令牌,用于与 Peta 通信。
当智能体需要执行外部动作(例如调用支付 API 或查询内部数据库)时,它向 Peta 的 MCP 端点发送请求,就像向任何 MCP 服务器发送请求一样。
Peta 作为 MCP 网关拦截该请求,并完成若干关键事情:
1、验证身份与权限:
Peta 检查智能体的令牌,以确认它是谁以及它被允许做什么(基于预定义策略)。
每个智能体,甚至每次工具调用,都可以关联细粒度权限。
例如,智能体 A 可能被允许使用"Salesforce 查询"工具,但仅限只读操作;而智能体 B 可以对沙盒执行写入------这些都在 Peta 的策略配置中定义。
2、获取并注入密钥:
如果动作被允许,Peta 会从服务器侧的安全保管库存储中拉取所需的真实密钥(凭证)。
Peta 将所有敏感 key 与密码以静态加密方式存储。
然后,它代表智能体把密钥注入到发往目标服务的外发请求中。
例如,如果智能体请求 Peta 调用某个内部 REST API,Peta 会从保管库取出 API key,并在发起调用时将其加入 HTTP 授权头。
外部服务收到的是一个有效的、已认证的请求,就好像智能体自己拥有该 key 一样。
3、AI 不接触密钥:
关键在于,在这个流程中 AI 智能体在任何时候都不会看到真实密钥。
智能体只看到动作的最终结果(或错误信息)。
敏感凭证仅在 Peta 的进程内存中短暂存在,并可在使用后立即清除。
即便智能体输出其全部记忆,或被恶意提示所诱导,也不会有密钥数据在其中------智能体最多持有临时令牌,而该令牌在 Peta 之外毫无用处且很快过期。
这一设计解决了传统保管库的"密钥在手"问题:一旦密钥交给应用,保管库就失去了控制。
而使用 Peta,控制从不被放弃------保管库始终参与每一次密钥使用,即按需动态代理。
4、细粒度策略执行:
每当智能体试图通过 MCP 使用工具时,Peta 都充当策略决策点。
由于它介入调用,它可以阻止或修改违反策略的请求。
例如,即使智能体可以访问数据库读取函数,Peta 也能强制查询不得请求超过 100 条记录,或强制过滤某些敏感字段。
这些按工具粒度的策略类似于面向 AI 行为的基于角色的访问控制。
如果智能体尝试超出允许范围,Peta 会阻止该动作并返回错误,而不是让智能体盲目执行潜在有害操作。
这种颗粒度监督在编排大规模 AI 工作负载时是一项巨大优势------它为自主智能体行为注入安全与治理。
5、人工在环审批:
Peta 认识到某些动作过于敏感而不适合自动化,因此提供可选审批流程(通过一个恰如其名的组件 Peta Desk)。
你可以将某些高风险工具或操作标记为需要人工批准。
在这些情况下,Peta 会暂停智能体请求,并向人工操作员发出警报,同时附上智能体试图执行的操作摘要。
例如:"智能体 X 正试图通过工具 Y 删除一个用户账户------你是否批准?"
人工随后可在 Slack 消息或 Web 仪表板中审核并批准或拒绝。
只有在批准后,Peta 才会继续执行该操作并注入密钥。
这一机制为生产场景提供安全网,使公司能在 AI 自主与人工控制之间取得平衡。
6、审计日志与可观测性:
所有经过 Peta 的请求都会以丰富上下文被记录------哪个智能体发起请求、调用了哪个工具或 API、传入了哪些参数、结果如何,以及是否发生人工干预。
这些日志为团队提供对 AI 操作的深度可见性,类似于 AI 智能体决策的"审计追踪"。
这种可观测性是一个改变游戏规则的能力。
传统密钥管理器可能只记录"密钥 X 被访问",但 Peta 可以记录"智能体 Y 使用密钥 X 在某时刻对某数据执行了某个具体动作"。
在合规与调试上,这种洞察极其宝贵------它让 AI 智能体行为进入与人类行为同等(甚至更强)的问责框架。
7、轻量、分布式友好设计:
尽管具备诸多能力,Peta 被设计为轻量且易部署。
有团队报告在一个下午就能跑起完整的 Peta 配置。
它不需要重型基础设施;你可以在智能体运行的任何地方运行 Peta 实例。
事实上,由于它既是保管库又是网关,一些团队会部署多个 Peta 实例靠近智能体(例如每个区域或边缘位置一个),以降低延迟并避免单一瓶颈点。
Peta 使用开放标准(即 MCP 与标准加密/认证技术),这意味着它与云无关------运行在浏览器、AWS 或本地服务器上的智能体,都能通过 MCP 以相同方式与 Peta 通信。
这种灵活性对大规模编排至关重要,因为在那种场景下你可能有异构环境,并需要方案能在所有地方工作。
本质上,Peta 为你提供一个可接入 MCP 织体的分布式"保管库+网关"。
通过与 MCP 无缝集成,Peta 体现了 MCP 生态系统如何支持更复杂、更安全的模型编排。
开发者与团队因此获得多方面收益。
首先,Peta 去除了密钥管理的巨大负担------你不再需要工程化复杂的保管库注入逻辑,也不必担心在提示或日志中泄露 API key。
AI 智能体代码保持干净直接(它只需通过 MCP 调用工具),而 Peta 在幕后透明处理凭证与合规。
这意味着更快的开发周期,因为新增集成只需把密钥存入 Peta 并授予智能体权限,而无需重构保管库访问代码。
其次,Peta 的策略引擎与审批流程让组织有信心把 AI 智能体部署到此前风险过高的生产场景。
你可以让 AI 在日常任务上自主运行,同时知道一旦它尝试越界(无论因 bug 还是巧妙的提示注入),Peta 都会捕获并要求人工检查,或直接阻断。
这解决了大规模 AI 编排的一个主要担忧:在扩大自动化的同时保持控制与信任。
第三,Peta 的日志与可观测性把通常是"黑盒"的东西(AI 决策)转化为透明事件日志。
这不仅帮助调试与优化智能体行为,也有助于合规审计或事后复盘。
总之,Peta 为 MCP 拼图补上一个重要部分:它确保当 AI 智能体变得更强大、更互联时,它们是在具备适当护栏与密钥处理卫生的情况下实现的。
它强调了 MCP 生态系统中的一个新趋势------在核心协议之上叠加增值服务(例如保管库、网关、注册表、UI 扩展),以满足实际企业需求。
正如 MCP 成为 AI-到-工具通信的通用适配器一样,Peta 旨在成为这些通信的通用安全代理,使大规模或动态模型编排对任何规模团队都可行。
通过在原本自由流动的 MCP 智能体世界中悄然引入约束与防护,Peta 使组织能够负责任地利用 AI 自主性。
对中级开发者而言,像 Peta 这样的工具意味着你可以把更少时间花在如何安全连接 AI 与十几个内部 API 上,把更多时间花在构建真正交付价值的功能与工作流上------安全与编排的繁重工作由它来完成。
六、结论
模型上下文协议在很短时间内走了很远------从 2024 年末的一个新想法,到 2026 年成为 AI 应用开发的基石。
我们回顾了它在重大技术里程碑中的历程:受 LSP 启发的早期架构,2025 年在传输与特性上的快速迭代(从可流式 HTTP 到 OAuth 安全到结构化数据与任务),以及广泛的行业拥抱使其成为 AI 连接性的开放标准。
MCP 的演进仍在继续,重点是更可扩展、更可编排、以及更丰富上下文的操作,以匹配日益复杂的 AI 系统需求。
重要的是,MCP 已经孕育了一个生态系统,使像 Peta 这样的创新得以繁荣------它弥补了仅凭基础协议无法覆盖的密钥管理与动态控制的缺口。
对开发者而言,MCP + Peta 这样的组合提供了一个有吸引力的工具箱:你获得开放与灵活的通用 AI 集成标准,同时获得专为编排基础设施设计的安全与便利。
当你探索构建 AI 驱动应用时,请关注 MCP 生态系统------它不仅是一个协议,也是一个不断增长的工具与最佳实践宇宙。
以 MCP 作为连接组织、以 Peta 等框架增强其能力,我们正在进入一个时代:AI 智能体能够同时具备敏捷性与可问责性,能够把它们所需的一切上下文无缝编织起来,成为我们软件系统中智能、主动的合作伙伴。