MCP峰會(huì)3天：Python開(kāi)發(fā)者被TypeScript甩了68

Python SDK上一次更新還是1月24日。68天，TypeScript那邊發(fā)了好幾個(gè)版本，Python這邊連個(gè)小補(bǔ)丁都沒(méi)有。

4月2日到3日，MCP Dev Summit在紐約開(kāi)完，這場(chǎng)會(huì)讓Python開(kāi)發(fā)者終于知道自己在等什么。Anthropic的Max Isbey在會(huì)上攤牌：V2正在主分支開(kāi)發(fā)，但別急著用——最早也要Q3才有能碰的Python版本。

v1.27.0：一場(chǎng)"安全更新"的潛臺(tái)詞

峰會(huì)第一天，Python SDK v1.27.0發(fā)布。版本號(hào)很小，信號(hào)很大。

這次更新加了RFC 8707資源驗(yàn)證、StreamableHTTP空閑超時(shí)、從V2分支回移植的TasksCallCapability，還有主分支的合規(guī)測(cè)試集成。回移植是個(gè)關(guān)鍵信號(hào)——說(shuō)明V2已經(jīng)成熟到能產(chǎn)出穩(wěn)定功能，不是畫餅。

但OAuth服務(wù)端代碼完全沒(méi)動(dòng)。BearerAuthProvider和BearerAuthBackend原封不動(dòng)，相關(guān)PR沒(méi)合并，V2的auth API改動(dòng)也沒(méi)公布。如果你現(xiàn)在用mcp.server.auth，v1.27.0可以直接升，零遷移成本。

TypeScript那邊完全是另一個(gè)節(jié)奏。4月1日，也就是峰會(huì)前一天，v2.0.0-alpha.1和alpha.2連發(fā)，帶了Standard Schema支持（Zod v4/Valibot/ArkType兼容）、重構(gòu)的TaskManager、廢棄方法清理，還有新的Fastify框架包首秀。

Python V2還在pre-alpha。Isbey的原話是"don't build against a Python V2 release before Q3 at the earliest"——最早Q3，實(shí)際可能更晚。

OAuth 2.1：六場(chǎng)會(huì)只講一件事

身份認(rèn)證是這次峰會(huì)的隱藏主線。Okta的身份標(biāo)準(zhǔn)總監(jiān)Aaron Parecki——OAuth 2.1規(guī)范的作者——帶了整場(chǎng)auth track的頭牌演講，標(biāo)題就叫"Evolution, Not Revolution"。

六場(chǎng)session，同一個(gè)結(jié)論：MCP不需要新造auth方案，OAuth 2.1+PKCE就是標(biāo)準(zhǔn)答案。Parecki會(huì)前的立場(chǎng)是"don't overthink auth in MCP"，峰會(huì)上這個(gè)立場(chǎng)變成了全生態(tài)的共識(shí)。

這六場(chǎng)會(huì)不是焦慮的體現(xiàn)，是方向定型的標(biāo)志。規(guī)范里寫了好幾個(gè)月的東西，現(xiàn)在所有人終于承認(rèn)：就按這個(gè)來(lái)。

對(duì)寫代碼的人來(lái)說(shuō)，這意味著什么？你現(xiàn)在用的mcp.server.auth模式，就是V2要標(biāo)準(zhǔn)化的東西——不是臨時(shí)方案，不會(huì)被推翻。

兩條時(shí)間線：TypeScript在跑，Python在走

把兩邊SDK的進(jìn)度攤開(kāi)，差距很明顯。

TypeScript：alpha版已發(fā)布，框架包開(kāi)始鋪，開(kāi)發(fā)者可以邊罵邊用了。Python：主分支開(kāi)發(fā)中，功能往v1.x回移植，但正式發(fā)布遙遙無(wú)期。

這種節(jié)奏差在開(kāi)源生態(tài)里不罕見(jiàn)。TypeScript社區(qū)大、貢獻(xiàn)者多、Anthropic內(nèi)部用得多，自然跑得更快。Python開(kāi)發(fā)者這68天的等待，本質(zhì)是資源優(yōu)先級(jí)的問(wèn)題。

但v1.27.0的回移植策略是個(gè)聰明設(shè)計(jì)——讓v1.x用戶提前吃到V2的成熟果實(shí)，同時(shí)不承諾V2的時(shí)間表。對(duì)生產(chǎn)環(huán)境來(lái)說(shuō)，這比硬趕一個(gè)半成品V2要負(fù)責(zé)任。

Isbey的演講里有個(gè)細(xì)節(jié)：V2開(kāi)發(fā)在主分支，v1.x維護(hù)在獨(dú)立分支。這個(gè)分支策略說(shuō)明兩件事：第一，V2的改動(dòng)確實(shí)夠大，需要隔離；第二，v1.x還會(huì)長(zhǎng)期維護(hù)，不會(huì)被拋棄。

如果你這周開(kāi)始寫新的MCP server，官方建議是繼續(xù)用現(xiàn)有模式。不是將就，是提前對(duì)齊未來(lái)標(biāo)準(zhǔn)。

一個(gè)未解的問(wèn)題

峰會(huì)結(jié)束一周后，Python開(kāi)發(fā)者還在等一個(gè)具體日期。Q3是最早，但alpha什么時(shí)候開(kāi)？beta呢？TypeScript的alpha已經(jīng)迭代兩輪了，Python這邊連預(yù)覽版都沒(méi)有。

OAuth 2.1的共識(shí)已經(jīng)達(dá)成，但共識(shí)不能當(dāng)代碼用。68天的空窗期之后，Python社區(qū)需要看到更清晰的路線圖——不是"主分支開(kāi)發(fā)中"這種狀態(tài)描述，而是"某月某日可以試"的承諾。

你會(huì)繼續(xù)守著v1.x等V2，還是先切TypeScript把功能跑起來(lái)？