规范说明:2025-06-18
Model Context Protocol (MCP) 是一个开放协议,它能够在 LLM 应用程序与外部数据源和工具之间实现无缝集成。无论您是在构建 AI 驱动的 IDE、增强聊天界面,还是创建自定义 AI 工作流,MCP 都提供了一种标准化的方式来连接 LLM 与它们所需的上下文。
本规范定义了权威的协议要求,基于 schema.ts 中的 TypeScript 模式。
有关实现指南和示例,请访问 modelcontextprotocol.io。
本文档中的关键词 "MUST"、"MUST NOT"、"REQUIRED"、"SHALL"、"SHALL NOT"、"SHOULD"、"SHOULD NOT"、"RECOMMENDED"、"NOT RECOMMENDED"、"MAY" 和 "OPTIONAL" 应按照 BCP 14 [RFC2119] [RFC8174] 中描述的含义进行解释,当且仅当它们以全大写形式出现时。
1. 概述
MCP 为应用程序提供了一种标准化的方式来:
- 与语言模型共享上下文信息
- 向 AI 系统公开工具和功能
- 构建可组合的集成和工作流
该协议使用 JSON-RPC 2.0 消息在以下实体之间建立通信:
- 主机 (Hosts):发起连接的 LLM 应用程序
- 客户端 (Clients):主机应用程序内的连接器
- 服务器 (Servers):提供上下文和功能的服务
MCP 从 Language Server Protocol 中获得了一些灵感,该协议标准化了如何在整个开发工具生态系统中添加对编程语言的支持。以类似的方式,MCP 标准化了如何将额外的上下文和工具集成到 AI 应用程序生态系统中。
2. 关键细节
2.1 基础协议
- JSON-RPC 消息格式
- 有状态连接
- 服务器和客户端功能协商
2.2 功能特性
服务器向客户端提供以下任一功能:
- 资源 (Resources):供用户或 AI 模型使用的上下文和数据
- 提示 (Prompts):为用户提供的模板化消息和工作流
- 工具 (Tools):供 AI 模型执行的函数
客户端可以向服务器提供以下功能:
- 采样 (Sampling):服务器发起的代理行为和递归 LLM 交互
- 根目录 (Roots):服务器发起的对 URI 或文件系统边界的查询
- 引导 (Elicitation):服务器发起的向用户请求额外信息
2.3 附加实用程序
- 配置
- 进度跟踪
- 取消操作
- 错误报告
- 日志记录
3. 安全与信任安全
Model Context Protocol 通过任意数据访问和代码执行路径启用了强大的功能。伴随这种能力而来的是重要的安全和信任考虑因素,所有实现者必须仔细解决这些问题。
3.1 关键原则
用户同意和控制
- 用户必须明确同意并理解所有数据访问和操作
- 用户必须保持对共享哪些数据和采取哪些行动的控制权
- 实现者应提供清晰的 UI 来审查和授权活动
数据隐私
- 主机必须在向服务器公开用户数据之前获得明确的用户同意
- 主机不得在没有用户同意的情况下将资源数据传输到其他地方
- 用户数据应受到适当的访问控制保护
工具安全
- 工具代表任意代码执行,必须以适当的谨慎态度对待
- 特别是,除非从可信服务器获得,否则工具行为的描述(如注释)应被视为不可信
- 主机必须在调用任何工具之前获得明确的用户同意
- 用户应在授权使用之前了解每个工具的功能
- 工具代表任意代码执行,必须以适当的谨慎态度对待
LLM 采样控制
- 用户必须明确批准任何 LLM 采样请求
- 用户应控制:
- 是否发生采样
- 将要发送的实际提示
- 服务器可以看到哪些结果
- 协议有意限制服务器对提示的可见性
3.2 实现指南
虽然 MCP 本身无法在协议级别强制执行这些安全原则,但实现者应该:
- 在其应用程序中构建强大的同意和授权流程
- 提供安全影响的清晰文档
- 实施适当的访问控制和数据保护
- 在其集成中遵循安全最佳实践
- 在功能设计中考虑隐私影响
4. 了解更多
探索每个协议组件的详细规范: