MCP 大爆發
Model Context Protocol 在 2025 年底被捐贈給 Linux 基金會的 AI 與數據基金會 (AAIF),隨後採用率呈指數增長。2026 年 2 月,月下載量突破 9,700 萬次。公開可用的 MCP Server 數量超過 10,000 個。每個主要 AI 平台都添加了 MCP 支援。每個整合供應商開始在其 REST API 旁發布 MCP Server。
協議成功了。生態系統蓬勃發展。而這正是問題所在。
一萬個 MCP Server 不等於一萬個可用於生產的 MCP Server。發布 MCP Server 的門檻很低 — 幾百行 TypeScript、一個工具定義和一個 README。沒有審查流程、沒有安全審計、沒有品質標準。任何人都可以發布一個向 AI Agent 暴露工具的 Server,而大多數這些 Server 在建構時考慮的是功能,安全只是事後想法 — 或者根本沒有考慮。
我們調查了 GitHub 上 200 個熱門的開源 MCP Server。結果令人擔憂:
- 73% 除了基本類型檢查外沒有輸入驗證
- 61% 在除錯模式下記錄了憑證
- 84% 沒有速率限制實作
- 45% 進行了文件中未記載的外部網路呼叫
- 29% 在本地快取了用戶數據,且沒有過期或清理機制
對於在沙箱環境中實驗的個人開發者來說,這沒問題。對於將 MCP Server 連接到生產系統 — CRM、金融平台、人力資源系統、客戶數據庫 — 的企業來說,這是不可接受的。
企業信任問題
當企業安全團隊評估 MCP Server 是否可用於生產部署時,他們會問一組具體的問題:
誰審計過這個? 開源 Server 通常由個人或小團隊撰寫。代碼是公開的,但「公開」不等於「已審查」。是否有安全專家檢查過 Server 的輸入處理、憑證管理和數據流?在大多數情況下,沒有。
如果它外洩數據怎麼辦? MCP Server 位於 AI 模型和外部服務之間。它們接收工具呼叫參數(可能包含敏感商業數據)並向第三方服務發出 API 呼叫。一個惡意或編寫不當的 Server 可能將該數據轉發到未經授權的端點。大多數 Server 不提供數據邊界的保證。
它是否能優雅地處理錯誤? 當工具呼叫失敗 — 無效輸入、API 逾時、達到速率限制、認證過期 — 會發生什麼?Server 是否返回 AI 模型可以推理的結構化錯誤?還是崩潰、掛起,或返回模糊的回應導致下游工作流靜默失敗?
它是否遵守速率限制? 企業 API 有速率限制。Salesforce、HubSpot、Stripe、ServiceNow — 它們都強制執行每帳戶請求配額。一個沒有實作速率限制的 MCP Server 在連接到批次工作流時,會在幾分鐘內耗盡組織的 API 配額,可能干擾共享相同 API 憑證的其他整合。
大多數現有的 MCP Server 無法令人滿意地回答這些問題。這就是為什麼企業要麼完全避免 MCP 整合,要麼花費數週從頭建立自己的 Server — 兩種結果都不理想。
三級認證
JieGou 的 MCP 市集使用三級認證模型。市集中的每個 Server 至少通過了一個級別,而級別顯示在 Server 的卡片上,讓組織可以對連接到生產系統的內容做出明智的決定。
社群級
基礎級別。社群認證的 Server 通過了驗證協議合規性的自動化測試:
- Schema 驗證 — 工具定義符合 MCP 規範。輸入 Schema 是有效的 JSON Schema。輸出 Schema 已定義且準確。
- 工具探索 — Server 正確回應
tools/list請求。工具名稱、描述和參數定義完整且格式良好。 - 基本調用 — 每個工具都可以用有效輸入呼叫並返回格式良好的回應。在正常路徑執行時不會崩潰、不會掛起、沒有未定義的行為。
社群認證是自動化的,只需幾分鐘。它確認 Server 按文件所述運作。它不驗證安全屬性。
驗證級
驗證級的 Server 通過完整的功能測試套件,超越正常路徑測試:
- 調用完整性 — 每個工具都用有效輸入、邊界案例輸入(空字串、最大長度值、Unicode、特殊字元)和無效輸入進行測試。Server 在所有三種類別下都不會崩潰。
- 錯誤處理 — 無效輸入返回帶有適當錯誤碼的結構化 MCP 錯誤回應。Server 不會在錯誤訊息中暴露堆疊追蹤、內部狀態或實作細節。
- 冪等性 — 讀取操作是冪等的。聲稱冪等的寫入操作經過驗證。測試套件使用相同的輸入多次運行每個工具並驗證一致的行為。
- 連線生命週期 — Server 優雅地處理連線、斷線和重新連線。突然斷線(模擬網路故障)不會留下孤立資源或損壞狀態。
驗證認證除了自動化測試外還需要人工審查。JieGou 工程師審查 Server 的實作、運行測試套件,並在提升 Server 之前驗證結果。
企業級
企業認證的 Server 通過驗證測試加上安全審查。這是在受監管環境中進行生產部署時最重要的級別。
企業認證測試內容
企業認證涵蓋四個安全領域,每個領域都有具體的測試案例:
輸入清理。 MCP 工具參數來自 AI 模型,這意味著它們可能包含任何內容 — 包括對抗性輸入。企業認證測試:
- 流向數據庫查詢的字串參數中的 SQL 注入載荷
- 檔案路徑參數中的路徑遍歷嘗試(
../../../etc/passwd) - 可能在網頁介面中渲染的參數中的 XSS 載荷
- 傳遞給 shell 命令的參數中的命令注入
- 旨在造成記憶體不足錯誤的超大輸入
- 旨在造成堆疊溢位的巢狀物件深度攻擊
每個 Server 必須在輸入到達外部系統之前清理所有輸入。允許清單驗證優於拒絕清單過濾。
憑證處理。 MCP Server 管理與外部服務的認證。企業認證驗證:
- 憑證(API 金鑰、OAuth Token、服務帳戶金鑰)即使在除錯模式下也絕不被記錄
- 憑證僅在連線期間保存在記憶體中,不會持久化到磁碟
- Token 輪換正確處理 — 過期的 Token 在使用前被刷新,輪換不會丟棄進行中的請求
- 憑證錯誤(無效金鑰、已撤銷 Token、過期憑證)返回清晰、可操作的錯誤訊息,不洩漏憑證值
速率限制。 企業認證驗證 Server 遵守其連接的外部服務的速率限制:
- Server 實作的速率限制符合提供者文件記載的限制
- 當達到速率限制時,Server 返回結構化的 retry-after 回應,而不是失敗或靜默丟棄請求
- 持續負載下的優雅降級 — Server 將請求排隊並在配額可用時處理,而不是立即拒絕
- 當 Server 支援多個並發連線時,按帳戶追蹤速率
數據邊界。 這是最重要的信任領域:
- Server 不進行超出文件記載 API 端點的外部網路呼叫。沒有遙測、沒有分析、沒有回報行為。
- 工具參數中傳遞的用戶數據不會被快取、記錄或儲存超過當前請求所需
- 不同帳戶的連線之間不共享數據
- 數據居留可配置 — 處理數據的 Server 可以固定到特定區域,以滿足有地理數據要求的組織
通過所有四個領域的 Server 獲得企業認證及市集中相應的徽章。
300+ 且持續增長
JieGou 的 MCP 市集目前提供橫跨 16 個類別的 300+ 個 Server — 生產力、財務、開發者工具、HRIS、數據、通訊、專案管理、安全、CRM、ITSM、設計、ERP、分析、行銷、AI/ML 等。
市集中的每個 Server 至少是社群認證的。大多數是驗證級的。而且越來越多 — 特別是在財務、HRIS、安全、CRM 和 ITSM 類別中 — 擁有企業認證。
社群貢獻管道使這個規模成為可能。開發者可以通過結構化流程向市集提交 MCP Server:提交儲存庫 URL 和元數據,Server 進入自動化社群認證管道,被接受的 Server 被提升到市集。通過額外審查的 Server 可以提升到驗證級和企業級。
黑客松加速了特定類別的增長。當市集團隊識別到一個缺口 — 比如法律科技整合或醫療保健 API — 一場專注的黑客松會聚集貢獻者在該類別中建立和認證 Server。最近一次黑客松在一週內向 HRIS 和財務類別添加了 22 個 Server。
目標不是成為最大的 MCP 市集。有些目錄擁有更多 Server。目標是成為企業級 MCP 市集 — 每個 Server 都經過測試、每個 Server 都有認證徽章、每個 Server 都符合企業部署所需安全標準的市集。
為什麼認證現在很重要
MCP 生態系統正處於轉折點。協議採用不再是瓶頸 — 信任才是。組織希望通過 MCP 將 AI Agent 連接到其商業系統,但他們需要確信所連接的 Server 是安全的、可靠的且行為良好的。
認證提供了這種信心。當企業安全團隊看到 JieGou MCP Server 上的企業認證徽章時,他們知道它已通過輸入清理測試、憑證處理審查、速率限制驗證和數據邊界驗證。他們知道有人審查了代碼。他們知道 Server 受到持續監控以防回歸。
這就是 10,000 個 Server 和 300 個你真正能部署到生產環境的 Server 之間的區別。