Anthropic 4巨頭密會：MCP安全路線圖藏著3個反直覺設

去年企業還在爭論大模型（LLM）要不要接外部工具，今年問題變成了：怎么接才不會把數據家底全漏出去。

4月2日，Anthropic、AWS、微軟、OpenAI 四家公司的 MCP（模型上下文協議）維護者在開發者峰會上攤牌，發布了一份企業安全路線圖。這不是例行更新——這是四家競爭對手第一次坐下來，給 AI 工具調用劃紅線。

「我們得先承認，MCP 現在的安全模型是半吊子」

Anthropic 工程師 David Soria Parra 開場就撂了實話。他負責 MCP 規范的核心維護，說話風格像產品經理寫事故復盤：先認栽，再給方案。

現場公布的數字有點扎眼：MCP 規范自 2024 年 11 月開源以來，GitHub 星標數從 0 漲到 2.1 萬，但企業級安全功能的 PR（Pull Request，代碼合并請求）只合并了 17%。「社區熱情很高，生產環境敢用的沒幾個。」

AWS 的代表接話更直接：「我們的企業客戶問得最多的不是『能做什么』，是『怎么證明它不會亂來』。」

路線圖里的三個「反直覺」

四家公司拿出的方案，有幾個設計會讓安全工程師愣一下。

第一，拒絕「默認信任」。傳統 API 授權是一次性的，MCP 要求每次工具調用都重新驗身份。微軟工程師比喻：「就像你進小區，不是刷一次門卡管一天，是每進一棟樓都要再驗。」

這會帶來延遲。Parra 承認「單次調用可能慢 50-200 毫秒」，但四家的共識是：企業寧愿慢點，也不想事后寫事故報告。

第二，把「拒絕權」塞給用戶端。OpenAI 的方案里，LLM 可以建議調用某個工具，但最終執行前必須彈窗讓用戶確認——哪怕是在自動化工作流里。「我們知道這很煩，」OpenAI 工程師說，「但『煩』比『賠』好。」

第三，審計日志要「可打官司」。不是記個時間戳完事，而是每個工具調用的輸入輸出、權限上下文、決策鏈條，全部結構化存儲。AWS 的措辭很法務：「滿足 SOX 合規只是底線，我們的目標是讓你在法庭上能自證清白。」

競爭者的共謀時刻

四家坐在一起本身，比技術細節更值得玩味。

Anthropic 是 MCP 的發起方，2024 年 11 月開源時沒人想到競爭對手會跟進。AWS 今年 2 月宣布支持，微軟 3 月跟進，OpenAI 直到上周才表態——但一表態就是工程師到場、路線圖共簽。

一位在場開發者提問：「你們怎么保證不會各自搞私有擴展？」

Parra 的回答很產品經理：「我們簽的是『最小公分母』協議。每家可以往上加料，但底層互通是底線。否則用戶會用腳投票——誰搞封閉，誰被集成商拋棄。」

微軟工程師補了一句：「我們的 Power Platform 有 800 萬開發者，但 MCP 如果分裂成四個方言，這數字就是笑話。」

企業還在等的一個答案

路線圖發布了，但現場投票顯示：62% 的參會企業表示「2025 年內沒有生產環境部署計劃」。

顧慮很實在。一位金融科技公司的架構師會后說：「規范寫得再細，最后要看云廠商的控制臺有沒有一鍵開關。現在 Anthropic 有、AWS 有，微軟說 Q3 上，OpenAI 還沒時間表。」

四家的共識是 2025 年 Q3 推出統一合規認證，讓企業可以「一次審計，四家通行」。但 Parra 最后留了句話：「認證是認證，敢不敢用是你們的事。我們先把紅線畫清楚。」