MCP 大爆发
Model Context Protocol 不再只是一项实验。2025 年底,Anthropic 将 MCP 捐赠给 Linux 基金会的 AI 与数据基金会 (AAIF),OpenAI 和 Block 以共同创办者身份加入。这一举措将 MCP 从一个有前景的开放标准转变为永久性基础设施 — 由打造全球最广泛使用的 AI 系统的组织所支撑。
采用数据说明了一切。2026 年 2 月,MCP SDK 下载量突破每月 9,700 万次。公开可用的 MCP Server 数量超过 10,000 个。Claude、ChatGPT、Cursor、Gemini、GitHub Copilot 和 VS Code 现在都内建了一流的 MCP 客户端支援。每个主要 AI 平台都将 MCP 视为工具使用的预设协议。
这是基础标准的发展轨迹,而非一时的潮流。在可预见的未来,MCP 就是 AI Agent 连接外部系统的方式。这个协议已经胜出。
但协议的采用是容易的部分。困难的部分是接下来的事:在那 10,000+ 个 Server 中,决定哪些你真正信任到可以连接到你的生产系统。
没人谈论的安全问题
在 RSA Conference 2026 上,研究人员发表了关于未经审查的 MCP Server 所造成不断扩大的攻击面的研究发现。核心论点是:你连接到 AI Agent 的每个 MCP Server 都成为该 Agent 的受信任扩展。它看到工具调用数据。它存取凭证。它观察流经对话的商业上下文。你连接的 Server 越多,攻击面就越大。
这并非理论推测。社群建构的 MCP Server 由注重功能而非安全的个人所编写。大多数发布时只附带一个 README 和一个可运作的演示 — 足以在 GitHub 上获得星标,但不足以通过安全审计。
想想 MCP Server 在生产环境中处理的内容。一个 Salesforce Server 接收交易数据、联络人资讯和营收数字作为工具参数。一个 Stripe Server 处理付款金额和客户 ID。一个 HRIS Server 触及员工记录和薪酬数据。每个 Server 都位于 AI 模型和业务关键系统之间,在每次调用时处理敏感数据。
在一项针对 200 个热门开源 MCP Server 的调查中,73% 缺乏适当的输入验证,61% 在除错日志中泄漏凭证,45% 进行了 README 中未记载的外部网路呼叫。对于在沙箱环境中的开发者来说,这是可接受的风险。对于将 AI Agent 连接到生产系统的企业来说,这是不可接受的。
品质优于数量:JieGou 的做法
JieGou 的 MCP Marketplace 目前列出横跨 16 个类别的 267 个精选 Server。这个数字是刻意控制的。
市集中的每个 Server 在出现于目录之前都已通过自动化测试。没有例外。没有「未审查」的层级。基准线不是「它能运行」— 基准线是「它在结构化验证下正确且可预测地运作」。
市集使用三级认证系统,让每个 Server 的品质水准一目了然:
社群级
社群认证的 Server 通过自动化协议验证:
- Schema 验证 — 工具定义符合 MCP 规范。输入 Schema 是有效的 JSON Schema,具有完整的类型标注。输出 Schema 已定义且准确。
- 工具探索 — Server 正确回应
tools/list请求。工具名称、描述和参数定义完整、格式良好,且与 Server 的文件一致。 - 基本调用 — 每个工具都可以用有效输入呼叫并返回格式良好的回应。在正常路径上不会崩溃、不会挂起、没有未定义的行为。
社群认证是完全自动化的,只需几分钟即可完成。它确认 Server 按照其声称的方式运作。它不验证安全属性 — 这是更高层级的职责。
验证级
验证级的 Server 通过完整的功能测试套件,远超正常路径的验证:
- 调用完整性 — 每个工具都用有效输入、边界案例输入(空字串、最大长度值、Unicode、特殊字元)和无效输入进行测试。Server 必须在所有三种类别下都不会崩溃或返回格式错误的回应。
- 错误处理 — 无效输入产生带有适当错误码的结构化 MCP 错误回应。不会在错误讯息中暴露堆叠追踪、内部状态或实作细节。
- 幂等性 — 读取操作被验证为幂等的。声称幂等的写入操作透过多次运行相同呼叫并验证一致结果来测试。非幂等写入操作则被记录在案。
- 连线生命周期 — Server 优雅地处理连线、断线和重新连线。模拟的网路故障(突然断线)不会留下孤立资源或损坏状态。
验证认证除了自动化测试外还包括 JieGou 工程师的人工审查。由人员阅读代码、运行测试套件,并在 Server 被提升之前签核确认。
企业级
企业认证的 Server 通过验证级的所有测试,再加上专门的安全审查。这是对受监管行业、敏感数据和大规模生产部署而言最重要的层级。
企业认证的含义
企业认证不是填个表格就能获得的徽章。它是跨越六个特定领域的结构化安全审查,每个领域都有具体的测试标准。
1. 输入清理。 MCP 工具参数来自 AI 模型,这意味着它们可能包含任何内容 — 包括对抗性输入。企业认证测试 SQL 注入、路径遍历、XSS、命令注入,以及旨在触发记忆体不足条件的超大输入。要求基于允许清单的验证。仅使用拒绝清单过滤无法通过。
2. 凭证处理。 企业认证验证凭证(API 金钥、OAuth Token、服务帐户金钥)在任何详细程度下都绝不被记录、仅在活跃连线期间保存在记忆体中、轮换时不丢弃进行中的请求,以及凭证错误返回可操作的讯息而不泄漏凭证值。
3. 速率限制。 连接到批次工作流的 MCP Server 若无速率限制,可在几分钟内耗尽组织的 API 配额。企业认证验证 Server 的限制符合提供者文件记载的配额、速率限制回应包含 retry-after 元数据,以及持续负载下触发优雅降级而非硬性失败。
4. 数据边界(无回报行为)。 这是最重要的信任领域。企业认证的 Server 不会进行超出文件记载 API 端点之外的外部网路呼叫。没有遥测、没有分析、没有回报行为。用户数据不会被快取或储存超过当前请求。不同帐户的连线之间不共享数据。透过网路流量分析进行验证。
5. 幂等性保证。 企业认证检验生产环境重试场景下的行为 — 网路逾时触发的自动重试、工作流引擎重放失败步骤、具有相同参数的并发调用。Server 必须是安全幂等的,或清楚记录哪些操作不是幂等的。
6. 对抗条件下的错误处理。 测试功能测试遗漏的错误路径:格式错误的上游 API 回应、多资源操作中的部分失败、服务降级下的逾时行为,以及并发错误条件。Server 必须以可预测的方式失败,并返回 AI 模型可以推理的结构化错误。
每个企业认证的 Server 都会获得基于其在这六个领域表现的安全评分。这不是装饰性的。它代表「这个 Server 能运作」和「这个 Server 可以安全地连接到你的生产 Salesforce 组织、你的 Stripe 帐户和你的员工资料库」之间的差距。
社群管道
精选的市集不代表封闭的市集。JieGou 的社群提交系统实现了品质可控的增长,而非未经过滤的泛滥。
流程如下:开发者提交一个储存库 URL 及 Server 元数据。提交进入自动化的社群认证管道 — Schema 验证、工具探索和基本调用测试自动运行。如果通过,Server 进入管理员审查伫列,进行目录品质检查,然后才能提升到公开市集。
通过额外审查的 Server 会被提升到验证级。通过完整安全审查的 Server 会被提升到企业级。层级始终显示在 Server 的市集卡片上。
被接受的 Server 的贡献者透过贡献者徽章系统获得认可:首个被接受的 Server 获得 Bronze 徽章、三个或以上被接受的 Server 获得 Silver 徽章、拥有企业认证 Server 的贡献者获得 Gold 徽章。这些徽章显示在贡献者的个人资料和他们所开发的每个 Server 卡片上。
这个管道将市集从 1 月的 50 个 Server 推动到今天的 267 个。但增长是刻意的。每个进入市集的 Server 都符合相同的最低门槛。没有跳过验证的快速通道。
为什么 267 大于 10,000
在企业软体中,问题从来不是「你有多少整合?」而是「有多少整合是我可以信任的?」
一位评估 MCP 市集选项的 CISO 不想要 10,000 个 Server。他们想知道哪些 Server 已经过测试、哪些经过安全审查、哪些可以安全连接到处理客户数据、金融交易和员工记录的系统。他们想知道市集运营者有一套流程 — 而不只是一个目录。
JieGou 的 267 个 Server 代表一组具体的保证:
- 每个 Server 都通过了自动化协议验证。Schema 合规性、工具探索和基本调用在任何内容出现在市集之前都已验证。
- 每个验证级 Server 都通过了包含边界案例、错误处理、幂等性和连线生命周期验证的功能测试 — 由人工工程师审查并签核。
- 每个企业级 Server 都通过了涵盖输入清理、凭证处理、速率限制、数据边界、重试条件下的幂等性和对抗性错误处理的安全审查。每个都附有安全评分。
- 每个连线 都有日志记录。使用分析追踪哪些工具被调用、调用频率以及成功率 — 让管理员对其 MCP 整合足迹有完整的可见性。
一万个未经审查的 Server 是一个目录。两百六十七个经过精选、测试和认证的 Server 是一个你可以连接到生产环境的市集。
在 MCP Marketplace 浏览完整目录,或开始免费试用来连接你的第一个 Server。