治理之智 | Agent治理的起点：MCP提供了兼容性和安全性的技术方案

二、MCP为Agent应用中的兼容性和安全性提供了技术方案

2024年11月，Anthropic 开源了MCP（Model Context Protocol）的开放协议，允许系统向 AI 模型提供上下文信息，并且可以在不同的集成场景中通用化。Anthropic将MCP类比于USB Type-C，让支持这个协议的不同工具，都能“即插即用”地连接到大模型[3]。 尽管仅推出4个月，巨头们已开始积极布局MCP生态 。不仅微软推出Playwright MCP，将强大的浏览器自动化工具封装在MCP标准中；连Anthropic 的“对手”OpenAI也加入了MCP，在旗下Agents SDK中开放支持[4]。同时，阿里巴巴集团在百炼平台全面支持MCP的部署和调用；研发的旨在简化开发流程、增强应用容错能力、支持多模态应用的多智能体平台AgentScope，也加入了MCP作为工具接口。

MCP采用分层架构解决Agent应用中的标准化及安全性问题 。一个主机应用（如Manus）通过MCP客户端同时连接多个服务程序(MCP Server)，每个Server各司其职，提供对一种数据源或应用的标准化接入。MCP Server是核心，定义了类似USB-C的通用接口规范，通过协议标准化数据格式与通信流程，为客户端提供上下文、工具和提示。在Github的MCP Server列表中，使用最多的是搜索和数据检索，用于网络搜索、爬取内容、语义检索等功能[5]。MCP不仅作为统一翻译器，将不同数据源的API转换为模型可理解的标准化请求；还能成为安全连接层，支持本地与远程资源访问，数据无需上传至云端。

首先，MCP通过标准共识的方式解决了Agent数据/工具调用中的兼容性问题 。MCP用统一接口代替碎片化的集成，AI只需理解并遵守协议即可与所有符合规范的工具进行交互，显著减少重复集成。同时，AI在同一通信框架内协调多个工具，避免不同插件或脚本间格式不一致，为跨部门跨系统的自动化流程带来更大空间。[6] 此外，MCP还通过开源实现多方利益平衡，推动生态可持续发展 。一是鼓励开发者贡献代码和开发新的Server，同时也利用开源服务增强自己的Agent；二是开源协议避免单独一家企业在其中拥有过高的话语权，更容易在产业层面达成共识；三是用户可以访问更多样化的数据源和工具，提升Agent应用的灵活性和实用性。

其次，MCP在安全性上有三点考量。一是数据链路上模型和具体数据源隔离，两者通过MCP Server协议交互，模型不直接依赖数据源的内部细节，厘清了多方数据混同的源流 。交互可以实现“双向通信”：不仅模型可以通过Server请求数据源，某些情况下数据源也可以通过Server"反过来"调用模型，让模型基于一些额外提示执行推理，从而支持更复杂的多轮Agent交互。[7]

二是通过通信协议提升命令控制链路的透明度和可审计性，解决用户-模型数据交互的信息不对称和黑箱化挑战 。MCP采用纯JSON格式封装请求、响应、通知的三种消息类型，每条消息直观表达"执行操作/获取数据"等行为，这种分类确保每条消息的用途清晰可追溯。此外，JSON消息无需解码即可阅读，开发者可直接调试或审查交互内容。例如通过日志中的JSON字段验证数据是否被篡改，或确认敏感操作是否符合安全策略。

三是依权限响应的方式保障授权链路的可控性，保障用户对Agent在工具/数据使用中的控制权 。一是MCP架构中，客户端与Server1:1连接，Server将请求转发给相应的资源，能够更好控制访问权限，确保只有经过授权的用户才能访问特定资源。二是AI系统上下文管理中，模型知道某段信息是只读资料（资源）还是可执行操作（工具），用户也能对不同类型请求进行针对性地审批或监控。同时， MCP通过权限预设和关键节点确认的方式实现人类“在环监督”(Human-in-the-Loop)与用户体验之间的平衡 。在应用中需要人类参与以确保过程可控，避免模型滥用外部操作权限，或Agent失控循环调用模型；而如果在执行任务的每一步都要依赖频繁的弹窗确认又会严重影响用户体验。因此，MCP支持用户通过配置文件或管理界面，预设细粒度的权限规则，限制模型对数据的访问范围，比如预先定义模型对特定工具或数据源的访问权限是只读还是读写；而当模型尝试访问敏感数据或执行高风险操作时，则需要用户的明确授权和同意。

MCP通过分层架构构建了标准化的接口与安全防护机制，实现了数据和工具调用中互操作性和安全性之间的平衡 。在用户价值层面，MCP带来了智能体与更多工具，甚至更多智能体之间更强的协作与互动。在模型智能不断提升的基础上，智能体的互操作性越强，安全能力越有保障，智能体经济的网络效应也将越明显，Agent也会在更多通用任务中取得更好的表现。MCP在下一阶段将重点开发对远程连接的支持。当前的客户端和Server都是在本地运行，而随着“端云协同”趋势的发展，MCP将重点解决本地客户端连接到远程MCP服务端时的安全性，提升多端多域执行环境中的安全保障。对此，增加标准化的认证与授权能力、探索无状态操作（交互过程不落盘）或成为新的突破点。[8]