模型上下文协议 (MCP) 是一个开放协议,旨在实现大语言模型(LLM)应用程序与外部数据源和工具之间的无缝集成。无论您是在构建由 AI 驱动的 IDE、增强聊天界面,还是创建自定义 AI 工作流,MCP 都提供了一种标准化的方式来连接 LLM 与其所需的上下文。 本规范定义了权威的协议要求,基于 schema.ts 中的 TypeScript 模式。 有关实施指南和示例,请访问 modelcontextprotocol.io 本文档中的关键词“MUST”、“MUST NOT”、“REQUIRED”、“SHALL”、“SHALL NOT”、“SHOULD”、“SHOULD NOT”、“RECOMMENDED”、“NOT RECOMMENDED”、“MAY”和“OPTIONAL”应按照 BCP 14 [RFC2119] [RFC8174] 中的描述进行解释,当且仅当它们以全大写形式出现时。

概述

MCP 为应用程序提供了一种标准化的方式来:
  • 与语言模型共享上下文信息
  • 向 AI 系统暴露工具和功能
  • 构建可组合的集成和工作流
该协议使用 JSON-RPC 2.0 消息在以下实体之间建立通信:
  • 主机 (Hosts):发起连接的 LLM 应用程序
  • 客户端 (Clients):主机应用程序内的连接器
  • 服务器 (Servers):提供上下文和功能的服务
MCP 的一些灵感来源于语言服务器协议(Language Server Protocol),该协议标准化了如何在整个开发工具生态系统中为编程语言添加支持。与此类似,MCP 标准化了如何将额外的上下文和工具集成到 AI 应用程序的生态系统中。

关键细节

基础协议

  • JSON-RPC 消息格式
  • 有状态连接
  • 服务器和客户端能力协商

特性

服务器向客户端提供以下任一特性:
  • 资源 (Resources):供用户或 AI 模型使用的上下文和数据
  • 提示 (Prompts):供用户使用的模板化消息和工作流
  • 工具 (Tools):供 AI 模型执行的函数
客户端可以向服务器提供以下特性:
  • 采样 (Sampling):由服务器发起的代理行为和递归 LLM 交互
  • 根 (Roots):由服务器发起的对 uri 或文件系统边界的查询,以确定操作范围
  • 引出 (Elicitation):由服务器发起的向用户请求额外信息的请求

附加工具

  • 配置
  • 进度跟踪
  • 取消
  • 错误报告
  • 日志记录

安全与信任及安全

模型上下文协议通过任意数据访问和代码执行路径实现了强大的功能。伴随这种能力而来的是重要的安全和信任考量,所有实施者都必须仔细处理。

关键原则

  1. 用户同意和控制
    • 用户必须明确同意并理解所有数据访问和操作
    • 用户必须保留对共享数据和执行操作的控制权
    • 实施者应提供清晰的用户界面,用于审查和授权活动
  2. 数据隐私
    • 主机在向服务器暴露用户数据之前,必须获得用户的明确同意
    • 未经用户同意,主机不得将资源数据传输到其他地方
    • 应使用适当的访问控制来保护用户数据
  3. 工具安全
    • 工具代表任意代码执行,必须谨慎对待。
      • 特别是,除非从可信服务器获得,否则应将工具行为的描述(如注解)视为不可信。
    • 主机在调用任何工具之前必须获得用户的明确同意
    • 用户在授权使用工具前应了解其功能
  4. LLM 采样控制
    • 用户必须明确批准任何 LLM 采样请求
    • 用户应能控制:
      • 是否进行采样
      • 将要发送的实际提示
      • 服务器可以看到哪些结果
    • 该协议有意限制服务器对提示的可见性

实施指南

虽然 MCP 本身无法在协议层面强制执行这些安全原则,但实施者 应当 (SHOULD)
  1. 在其应用程序中构建稳健的同意和授权流程
  2. 提供关于安全影响的清晰文档
  3. 实施适当的访问控制和数据保护措施
  4. 在其集成中遵循安全最佳实践
  5. 在功能设计中考虑隐私影响

了解更多

探索每个协议组件的详细规范

架构

基础协议

服务器特性

客户端特性

贡献