规范
规范

规范

Model Context Protocol (MCP) 是一个开放协议,可实现 LLM 应用与外部数据源和工具之间的无缝集成。无论您是构建 AI 驱动的 IDE、增强聊天界面,还是创建自定义 AI 工作流,MCP 都提供了一种标准化的方式将 LLM 与其所需的上下文连接起来。

本规范定义了权威协议要求,基于 schema.ts 中的 TypeScript schema。

有关实施指南和示例,请访问 modelcontextprotocol.io

本文档中的关键词 “MUST”、“MUST NOT”、“REQUIRED”、“SHALL”、“SHALL NOT”、“SHOULD”、“SHOULD NOT”、“RECOMMENDED”、“NOT RECOMMENDED”、“MAY” 和 “OPTIONAL” 应按照 BCP 14 [RFC2119] [RFC8174] 中的描述解释,且仅当它们以全部大写形式出现时才适用。

概览

MCP 提供了一种标准化的方式,让应用程序能够:

  • 与语言模型共享上下文信息
  • 向 AI 系统暴露工具和能力
  • 构建可组合的集成和工作流

该协议使用 JSON-RPC 2.0 消息在以下之间建立通信:

  • 宿主 (Hosts):发起连接的 LLM 应用程序
  • 客户端 (Clients):宿主应用程序内的连接器
  • 服务器 (Servers):提供上下文和功能的服务

MCP 从 Language Server Protocol 获得了一些灵感,后者标准化了如何在整个开发生态系统中添加对编程语言的支持。类似地,MCP 标准化了如何将额外的上下文和工具集成到 AI 应用程序生态系统中。

关键细节

基础协议

  • JSON-RPC 消息格式
  • 有状态连接
  • 服务器和客户端能力协商

功能

服务器可以向客户端提供以下功能:

  • 资源 (Resources):供用户或 AI 模型使用的上下文和数据
  • 提示词 (Prompts):面向用户的模板化消息和工作流
  • 工具 (Tools):供 AI 模型执行的函数

客户端可以向服务器提供以下功能:

  • 采样 (Sampling):服务器发起的智能体行为和递归 LLM 交互
  • 根目录 (Roots):服务器发起的对 URI 或文件系统边界范围的查询
  • 启发 (Elicitation):服务器发起的从用户获取额外信息的请求

附加工具

  • 配置
  • 进度跟踪
  • 取消
  • 错误报告
  • 日志记录

安全性和信任与安全

Model Context Protocol 通过任意数据访问和代码执行路径实现了强大的功能。伴随着这种强大的功能,所有实现者必须仔细处理重要的安全性和信任考虑因素。

关键原则

  1. 用户同意和控制

    • 用户必须明确同意并理解所有数据访问和操作
    • 用户必须保留对共享哪些数据以及采取哪些行动的控制权
    • 实现者应提供清晰的 UI 用于审查和授权活动

  2. 数据隐私

    • 宿主必须获得用户的明确同意才能向服务器暴露用户数据
    • 宿主必须在未经用户同意的情况下将资源数据传输到其他地方
    • 用户数据应受到适当的访问控制保护

  3. 工具安全

    • 工具代表任意代码执行,必须受到适当的谨慎对待
    • 特别是,工具行为的描述(如注释)应被视为不受信任的,除非来自可信的服务器
    • 宿主必须获得用户的明确同意才能调用任何工具
    • 用户应理解每个工具的作用,然后授权其使用

  4. LLM 采样控制

    • 用户必须明确批准任何 LLM 采样请求
    • 用户应控制:
      • 是否发生采样
      • 将发送的实际提示
      • 服务器可以看到什么结果
      • 协议故意限制了服务器对提示的可见性

实施指南

虽然 MCP 本身无法在协议级别强制执行这些安全原则,但实现者应该

  1. 在其应用程序中构建强大的同意和授权流程
  2. 提供安全含义的清晰文档
  3. 实施适当的访问控制和数据保护
  4. 在其集成中遵循安全最佳实践
  5. 在其功能设计中考虑隐私影响

了解更多

探索每个协议组件的详细规范: