MCP 大爆发
Model Context Protocol 在 2025 年底被捐赠给 Linux 基金会的 AI 与数据基金会 (AAIF),随后采用率呈指数增长。2026 年 2 月,月下载量突破 9,700 万次。公开可用的 MCP Server 数量超过 10,000 个。每个主要 AI 平台都添加了 MCP 支援。每个整合供应商开始在其 REST API 旁发布 MCP Server。
协议成功了。生态系统蓬勃发展。而这正是问题所在。
一万个 MCP Server 不等于一万个可用于生产的 MCP Server。发布 MCP Server 的门槛很低 — 几百行 TypeScript、一个工具定义和一个 README。没有审查流程、没有安全审计、没有品质标准。任何人都可以发布一个向 AI Agent 暴露工具的 Server,而大多数这些 Server 在建构时考虑的是功能,安全只是事后想法 — 或者根本没有考虑。
我们调查了 GitHub 上 200 个热门的开源 MCP Server。结果令人担忧:
- 73% 除了基本类型检查外没有输入验证
- 61% 在除错模式下记录了凭证
- 84% 没有速率限制实作
- 45% 进行了文件中未记载的外部网路呼叫
- 29% 在本地快取了用户数据,且没有过期或清理机制
对于在沙箱环境中实验的个人开发者来说,这没问题。对于将 MCP Server 连接到生产系统 — CRM、金融平台、人力资源系统、客户数据库 — 的企业来说,这是不可接受的。
企业信任问题
当企业安全团队评估 MCP Server 是否可用于生产部署时,他们会问一组具体的问题:
谁审计过这个? 开源 Server 通常由个人或小团队撰写。代码是公开的,但「公开」不等于「已审查」。是否有安全专家检查过 Server 的输入处理、凭证管理和数据流?在大多数情况下,没有。
如果它外泄数据怎么办? MCP Server 位于 AI 模型和外部服务之间。它们接收工具呼叫参数(可能包含敏感商业数据)并向第三方服务发出 API 呼叫。一个恶意或编写不当的 Server 可能将该数据转发到未经授权的端点。大多数 Server 不提供数据边界的保证。
它是否能优雅地处理错误? 当工具呼叫失败 — 无效输入、API 逾时、达到速率限制、认证过期 — 会发生什么?Server 是否返回 AI 模型可以推理的结构化错误?还是崩溃、挂起,或返回模糊的回应导致下游工作流静默失败?
它是否遵守速率限制? 企业 API 有速率限制。Salesforce、HubSpot、Stripe、ServiceNow — 它们都强制执行每帐户请求配额。一个没有实作速率限制的 MCP Server 在连接到批次工作流时,会在几分钟内耗尽组织的 API 配额,可能干扰共享相同 API 凭证的其他整合。
大多数现有的 MCP Server 无法令人满意地回答这些问题。这就是为什么企业要么完全避免 MCP 整合,要么花费数周从头建立自己的 Server — 两种结果都不理想。
三级认证
JieGou 的 MCP 市集使用三级认证模型。市集中的每个 Server 至少通过了一个级别,而级别显示在 Server 的卡片上,让组织可以对连接到生产系统的内容做出明智的决定。
社群级
基础级别。社群认证的 Server 通过了验证协议合规性的自动化测试:
- Schema 验证 — 工具定义符合 MCP 规范。输入 Schema 是有效的 JSON Schema。输出 Schema 已定义且准确。
- 工具探索 — Server 正确回应
tools/list请求。工具名称、描述和参数定义完整且格式良好。 - 基本调用 — 每个工具都可以用有效输入呼叫并返回格式良好的回应。在正常路径执行时不会崩溃、不会挂起、没有未定义的行为。
社群认证是自动化的,只需几分钟。它确认 Server 按文件所述运作。它不验证安全属性。
验证级
验证级的 Server 通过完整的功能测试套件,超越正常路径测试:
- 调用完整性 — 每个工具都用有效输入、边界案例输入(空字串、最大长度值、Unicode、特殊字元)和无效输入进行测试。Server 在所有三种类别下都不会崩溃。
- 错误处理 — 无效输入返回带有适当错误码的结构化 MCP 错误回应。Server 不会在错误讯息中暴露堆叠追踪、内部状态或实作细节。
- 幂等性 — 读取操作是幂等的。声称幂等的写入操作经过验证。测试套件使用相同的输入多次运行每个工具并验证一致的行为。
- 连线生命周期 — Server 优雅地处理连线、断线和重新连线。突然断线(模拟网路故障)不会留下孤立资源或损坏状态。
验证认证除了自动化测试外还需要人工审查。JieGou 工程师审查 Server 的实作、运行测试套件,并在提升 Server 之前验证结果。
企业级
企业认证的 Server 通过验证测试加上安全审查。这是在受监管环境中进行生产部署时最重要的级别。
企业认证测试内容
企业认证涵盖四个安全领域,每个领域都有具体的测试案例:
输入清理。 MCP 工具参数来自 AI 模型,这意味着它们可能包含任何内容 — 包括对抗性输入。企业认证测试:
- 流向数据库查询的字串参数中的 SQL 注入载荷
- 档案路径参数中的路径遍历尝试(
../../../etc/passwd) - 可能在网页介面中渲染的参数中的 XSS 载荷
- 传递给 shell 命令的参数中的命令注入
- 旨在造成记忆体不足错误的超大输入
- 旨在造成堆叠溢位的巢状物件深度攻击
每个 Server 必须在输入到达外部系统之前清理所有输入。允许清单验证优于拒绝清单过滤。
凭证处理。 MCP Server 管理与外部服务的认证。企业认证验证:
- 凭证(API 金钥、OAuth Token、服务帐户金钥)即使在除错模式下也绝不被记录
- 凭证仅在连线期间保存在记忆体中,不会持久化到磁碟
- Token 轮换正确处理 — 过期的 Token 在使用前被刷新,轮换不会丢弃进行中的请求
- 凭证错误(无效金钥、已撤销 Token、过期凭证)返回清晰、可操作的错误讯息,不泄漏凭证值
速率限制。 企业认证验证 Server 遵守其连接的外部服务的速率限制:
- Server 实作的速率限制符合提供者文件记载的限制
- 当达到速率限制时,Server 返回结构化的 retry-after 回应,而不是失败或静默丢弃请求
- 持续负载下的优雅降级 — Server 将请求排队并在配额可用时处理,而不是立即拒绝
- 当 Server 支援多个并发连线时,按帐户追踪速率
数据边界。 这是最重要的信任领域:
- Server 不进行超出文件记载 API 端点的外部网路呼叫。没有遥测、没有分析、没有回报行为。
- 工具参数中传递的用户数据不会被快取、记录或储存超过当前请求所需
- 不同帐户的连线之间不共享数据
- 数据居留可配置 — 处理数据的 Server 可以固定到特定区域,以满足有地理数据要求的组织
通过所有四个领域的 Server 获得企业认证及市集中相应的徽章。
300+ 且持续增长
JieGou 的 MCP 市集目前提供横跨 16 个类别的 300+ 个 Server — 生产力、财务、开发者工具、HRIS、数据、通讯、专案管理、安全、CRM、ITSM、设计、ERP、分析、行销、AI/ML 等。
市集中的每个 Server 至少是社群认证的。大多数是验证级的。而且越来越多 — 特别是在财务、HRIS、安全、CRM 和 ITSM 类别中 — 拥有企业认证。
社群贡献管道使这个规模成为可能。开发者可以通过结构化流程向市集提交 MCP Server:提交储存库 URL 和元数据,Server 进入自动化社群认证管道,被接受的 Server 被提升到市集。通过额外审查的 Server 可以提升到验证级和企业级。
黑客松加速了特定类别的增长。当市集团队识别到一个缺口 — 比如法律科技整合或医疗保健 API — 一场专注的黑客松会聚集贡献者在该类别中建立和认证 Server。最近一次黑客松在一周内向 HRIS 和财务类别添加了 22 个 Server。
目标不是成为最大的 MCP 市集。有些目录拥有更多 Server。目标是成为企业级 MCP 市集 — 每个 Server 都经过测试、每个 Server 都有认证徽章、每个 Server 都符合企业部署所需安全标准的市集。
为什么认证现在很重要
MCP 生态系统正处于转折点。协议采用不再是瓶颈 — 信任才是。组织希望通过 MCP 将 AI Agent 连接到其商业系统,但他们需要确信所连接的 Server 是安全的、可靠的且行为良好的。
认证提供了这种信心。当企业安全团队看到 JieGou MCP Server 上的企业认证徽章时,他们知道它已通过输入清理测试、凭证处理审查、速率限制验证和数据边界验证。他们知道有人审查了代码。他们知道 Server 受到持续监控以防回归。
这就是 10,000 个 Server 和 300 个你真正能部署到生产环境的 Server 之间的区别。