MCP 大爆發
Model Context Protocol 不再只是一項實驗。2025 年底,Anthropic 將 MCP 捐贈給 Linux 基金會的 AI 與數據基金會 (AAIF),OpenAI 和 Block 以共同創辦者身份加入。這一舉措將 MCP 從一個有前景的開放標準轉變為永久性基礎設施 — 由打造全球最廣泛使用的 AI 系統的組織所支撐。
採用數據說明了一切。2026 年 2 月,MCP SDK 下載量突破每月 9,700 萬次。公開可用的 MCP Server 數量超過 10,000 個。Claude、ChatGPT、Cursor、Gemini、GitHub Copilot 和 VS Code 現在都內建了一流的 MCP 客戶端支援。每個主要 AI 平台都將 MCP 視為工具使用的預設協議。
這是基礎標準的發展軌跡,而非一時的潮流。在可預見的未來,MCP 就是 AI Agent 連接外部系統的方式。這個協議已經勝出。
但協議的採用是容易的部分。困難的部分是接下來的事:在那 10,000+ 個 Server 中,決定哪些你真正信任到可以連接到你的生產系統。
沒人談論的安全問題
在 RSA Conference 2026 上,研究人員發表了關於未經審查的 MCP Server 所造成不斷擴大的攻擊面的研究發現。核心論點是:你連接到 AI Agent 的每個 MCP Server 都成為該 Agent 的受信任擴展。它看到工具調用數據。它存取憑證。它觀察流經對話的商業上下文。你連接的 Server 越多,攻擊面就越大。
這並非理論推測。社群建構的 MCP Server 由注重功能而非安全的個人所編寫。大多數發布時只附帶一個 README 和一個可運作的演示 — 足以在 GitHub 上獲得星標,但不足以通過安全審計。
想想 MCP Server 在生產環境中處理的內容。一個 Salesforce Server 接收交易數據、聯絡人資訊和營收數字作為工具參數。一個 Stripe Server 處理付款金額和客戶 ID。一個 HRIS Server 觸及員工記錄和薪酬數據。每個 Server 都位於 AI 模型和業務關鍵系統之間,在每次調用時處理敏感數據。
在一項針對 200 個熱門開源 MCP Server 的調查中,73% 缺乏適當的輸入驗證,61% 在除錯日誌中洩漏憑證,45% 進行了 README 中未記載的外部網路呼叫。對於在沙箱環境中的開發者來說,這是可接受的風險。對於將 AI Agent 連接到生產系統的企業來說,這是不可接受的。
品質優於數量:JieGou 的做法
JieGou 的 MCP Marketplace 目前列出橫跨 16 個類別的 267 個精選 Server。這個數字是刻意控制的。
市集中的每個 Server 在出現於目錄之前都已通過自動化測試。沒有例外。沒有「未審查」的層級。基準線不是「它能運行」— 基準線是「它在結構化驗證下正確且可預測地運作」。
市集使用三級認證系統,讓每個 Server 的品質水準一目瞭然:
社群級
社群認證的 Server 通過自動化協議驗證:
- Schema 驗證 — 工具定義符合 MCP 規範。輸入 Schema 是有效的 JSON Schema,具有完整的類型標註。輸出 Schema 已定義且準確。
- 工具探索 — Server 正確回應
tools/list請求。工具名稱、描述和參數定義完整、格式良好,且與 Server 的文件一致。 - 基本調用 — 每個工具都可以用有效輸入呼叫並返回格式良好的回應。在正常路徑上不會崩潰、不會掛起、沒有未定義的行為。
社群認證是完全自動化的,只需幾分鐘即可完成。它確認 Server 按照其聲稱的方式運作。它不驗證安全屬性 — 這是更高層級的職責。
驗證級
驗證級的 Server 通過完整的功能測試套件,遠超正常路徑的驗證:
- 調用完整性 — 每個工具都用有效輸入、邊界案例輸入(空字串、最大長度值、Unicode、特殊字元)和無效輸入進行測試。Server 必須在所有三種類別下都不會崩潰或返回格式錯誤的回應。
- 錯誤處理 — 無效輸入產生帶有適當錯誤碼的結構化 MCP 錯誤回應。不會在錯誤訊息中暴露堆疊追蹤、內部狀態或實作細節。
- 冪等性 — 讀取操作被驗證為冪等的。聲稱冪等的寫入操作透過多次運行相同呼叫並驗證一致結果來測試。非冪等寫入操作則被記錄在案。
- 連線生命週期 — Server 優雅地處理連線、斷線和重新連線。模擬的網路故障(突然斷線)不會留下孤立資源或損壞狀態。
驗證認證除了自動化測試外還包括 JieGou 工程師的人工審查。由人員閱讀代碼、運行測試套件,並在 Server 被提升之前簽核確認。
企業級
企業認證的 Server 通過驗證級的所有測試,再加上專門的安全審查。這是對受監管行業、敏感數據和大規模生產部署而言最重要的層級。
企業認證的含義
企業認證不是填個表格就能獲得的徽章。它是跨越六個特定領域的結構化安全審查,每個領域都有具體的測試標準。
1. 輸入清理。 MCP 工具參數來自 AI 模型,這意味著它們可能包含任何內容 — 包括對抗性輸入。企業認證測試 SQL 注入、路徑遍歷、XSS、命令注入,以及旨在觸發記憶體不足條件的超大輸入。要求基於允許清單的驗證。僅使用拒絕清單過濾無法通過。
2. 憑證處理。 企業認證驗證憑證(API 金鑰、OAuth Token、服務帳戶金鑰)在任何詳細程度下都絕不被記錄、僅在活躍連線期間保存在記憶體中、輪換時不丟棄進行中的請求,以及憑證錯誤返回可操作的訊息而不洩漏憑證值。
3. 速率限制。 連接到批次工作流的 MCP Server 若無速率限制,可在幾分鐘內耗盡組織的 API 配額。企業認證驗證 Server 的限制符合提供者文件記載的配額、速率限制回應包含 retry-after 元數據,以及持續負載下觸發優雅降級而非硬性失敗。
4. 數據邊界(無回報行為)。 這是最重要的信任領域。企業認證的 Server 不會進行超出文件記載 API 端點之外的外部網路呼叫。沒有遙測、沒有分析、沒有回報行為。用戶數據不會被快取或儲存超過當前請求。不同帳戶的連線之間不共享數據。透過網路流量分析進行驗證。
5. 冪等性保證。 企業認證檢驗生產環境重試場景下的行為 — 網路逾時觸發的自動重試、工作流引擎重放失敗步驟、具有相同參數的並發調用。Server 必須是安全冪等的,或清楚記錄哪些操作不是冪等的。
6. 對抗條件下的錯誤處理。 測試功能測試遺漏的錯誤路徑:格式錯誤的上游 API 回應、多資源操作中的部分失敗、服務降級下的逾時行為,以及並發錯誤條件。Server 必須以可預測的方式失敗,並返回 AI 模型可以推理的結構化錯誤。
每個企業認證的 Server 都會獲得基於其在這六個領域表現的安全評分。這不是裝飾性的。它代表「這個 Server 能運作」和「這個 Server 可以安全地連接到你的生產 Salesforce 組織、你的 Stripe 帳戶和你的員工資料庫」之間的差距。
社群管道
精選的市集不代表封閉的市集。JieGou 的社群提交系統實現了品質可控的增長,而非未經過濾的泛濫。
流程如下:開發者提交一個儲存庫 URL 及 Server 元數據。提交進入自動化的社群認證管道 — Schema 驗證、工具探索和基本調用測試自動運行。如果通過,Server 進入管理員審查佇列,進行目錄品質檢查,然後才能提升到公開市集。
通過額外審查的 Server 會被提升到驗證級。通過完整安全審查的 Server 會被提升到企業級。層級始終顯示在 Server 的市集卡片上。
被接受的 Server 的貢獻者透過貢獻者徽章系統獲得認可:首個被接受的 Server 獲得 Bronze 徽章、三個或以上被接受的 Server 獲得 Silver 徽章、擁有企業認證 Server 的貢獻者獲得 Gold 徽章。這些徽章顯示在貢獻者的個人資料和他們所開發的每個 Server 卡片上。
這個管道將市集從 1 月的 50 個 Server 推動到今天的 267 個。但增長是刻意的。每個進入市集的 Server 都符合相同的最低門檻。沒有跳過驗證的快速通道。
為什麼 267 大於 10,000
在企業軟體中,問題從來不是「你有多少整合?」而是「有多少整合是我可以信任的?」
一位評估 MCP 市集選項的 CISO 不想要 10,000 個 Server。他們想知道哪些 Server 已經過測試、哪些經過安全審查、哪些可以安全連接到處理客戶數據、金融交易和員工記錄的系統。他們想知道市集運營者有一套流程 — 而不只是一個目錄。
JieGou 的 267 個 Server 代表一組具體的保證:
- 每個 Server 都通過了自動化協議驗證。Schema 合規性、工具探索和基本調用在任何內容出現在市集之前都已驗證。
- 每個驗證級 Server 都通過了包含邊界案例、錯誤處理、冪等性和連線生命週期驗證的功能測試 — 由人工工程師審查並簽核。
- 每個企業級 Server 都通過了涵蓋輸入清理、憑證處理、速率限制、數據邊界、重試條件下的冪等性和對抗性錯誤處理的安全審查。每個都附有安全評分。
- 每個連線 都有日誌記錄。使用分析追蹤哪些工具被調用、調用頻率以及成功率 — 讓管理員對其 MCP 整合足跡有完整的可見性。
一萬個未經審查的 Server 是一個目錄。兩百六十七個經過精選、測試和認證的 Server 是一個你可以連接到生產環境的市集。
在 MCP Marketplace 瀏覽完整目錄,或開始免費試用來連接你的第一個 Server。