MCP 深度解析：从零到行业标准仅 15 个月的协议奇迹

一个协议，15 个月，从 Anthropic 内部实验到全行业采纳。MCP 重新定义了 AI Agent 如何连接世界——而它的故事远未结束。

I. 诞生：2024 年 11 月 25 日

2024 年 11 月 25 日，Anthropic 发布了一条看似平静的公告：

"Today we're open-sourcing the Model Context Protocol (MCP), a new standard for connecting AI assistants to the systems where data lives."

没人预料到接下来会发生什么。

首发日，Anthropic 一并推出：

• MCP 规范——基于 JSON-RPC 2.0 的轻量协议
• Python SDK 和 TypeScript SDK
• 5 个参考服务器：filesystem、GitHub、Slack、PostgreSQL、SQLite
• Claude Desktop 成为首个 MCP 兼容宿主应用

MCP 的核心理念极其简洁：AI 应用不应该是孤岛。每个 LLM 应用都在重复造轮子——为每个数据库、每个 API、每个工具写定制集成。MCP 提供了一个统一的接口：写一次，到处运行。

II. 三大原语：Tools、Resources、Prompts

MCP 定义了三个核心原语，每个都解决一种特定的连接问题：

原语	解决的问题	比喻
Tools	LLM 可以调用的函数——标准化函数调用	AI 的双手
Resources	LLM 可以读取的结构化数据	AI 的眼睛
Prompts	带参数的可复用提示模板	AI 的字典

这三个原语覆盖了 Agent 与外界交互的绝大多数场景。你不需要为每个新工具定义新协议——只需要实现这三个原语。

III. 分水岭：OpenAI 采纳 MCP（2025 年 3 月）

MCP 发布后的前四个月，它被视为"Claude 专属协议"。2025 年 2 月，Zed、Replit、Codeium、Sourcegraph 等第三方开始支持，但缺少一个关键信号。

2025 年 3 月，OpenAI 在 Agents SDK 和 ChatGPT 桌面应用中宣布支持 MCP。

2025 年 5 月，社区服务器突破 1,000 个。mcp.so 和 mcpservers.org 等目录网站上线。

IV. 规范演进：从 stdio 到全栈

MCP 规范经历了四次重大升级：

时间	版本/特性	影响
2024.11	初始发布 — stdio 传输	本地工具集成的基础
2025.04	远程服务器 + HTTP/SSE 传输	解锁企业和 SaaS 用例
2025.04	OAuth 2.0 认证机制	安全的企业级部署
2025 Q3-Q4	Sampling + Roots + Progress	代理循环、文件作用域、长时操作
2026 Q1	MCP 1.0 稳定规范	三方工作组正式化（Anthropic + OpenAI + Google + Microsoft）

传输方式的演进也值得注意：

• stdio → 本地进程通信，最简单
• HTTP + SSE → 远程服务器，解锁 SaaS 集成
• WebSocket → 双向实时通信，MCP 1.0 正式纳入

V. MCP vs A2A：垂直 vs 水平

2025 年 4 月，Google 发布了 A2A（Agent-to-Agent）协议。很多人问：MCP 和 A2A 是竞争关系吗？

不是。它们解决不同层面的问题，构成了一个双层方案：

维度	MCP	A2A
核心关注	工具/资源访问	智能体间协作
通信方向	垂直（Agent → 资源）	水平（Agent ↔ Agent）
状态模型	基本无状态	有状态的任务生命周期
服务发现	mcp:// 服务器 URL	Agent Card (/.well-known/agent-card.json)
输出类型	工具结果、资源读取	任务、制品、多轮对话
协议来源	Anthropic (2024.11)	Google (2025.04)

实际部署中的分层架构：

Orchestrator Agent（编排智能体）
    │
    ├── MCP → PostgreSQL server（读取订单数据）
    ├── MCP → Stripe server（处理支付）
    │
    ├── A2A → InventoryAgent（复杂库存推理）
    │             │
    │             └── MCP → WarehouseDB
    │
    └── A2A → ComplianceAgent（合规检查）
                  │
                  └── MCP → RegulationsAPI

编排智能体使用 MCP 进行直接工具访问，使用 A2A 向专家智能体委派任务。每个专家智能体内部可使用 MCP 访问自身数据源。两者互补，缺一不可。

VI. A2A 的 Task 生命周期

A2A 的核心工作单元是 Task，拥有明确定义的状态机：

SUBMITTED → WORKING → COMPLETED（终态）
                    → FAILED（终态）
                    → CANCELED（终态）
           → INPUT_REQUIRED（中断 — 等待用户输入）
           → AUTH_REQUIRED（中断 — 需要认证）
           → REJECTED（终态 — 智能体拒绝）

核心 JSON-RPC 方法：

方法	描述
SendMessage	提交任务并等待同步响应
SendStreamingMessage	提交任务并接收流式 SSE 更新
GetTask	轮询当前任务状态
CancelTask	请求取消任务
SubscribeToTask	订阅任务状态变更事件

当任务进入 INPUT_REQUIRED 状态时，编排智能体可以注入额外消息并恢复处理，无需启动新任务。这明确支持多轮对话。

VII. 生产环境的安全挑战

7.1 中间智能体攻击

Trustwave SpiderLabs 在 2025 年演示了一类重大攻击：恶意智能体提交膨胀的 Agent Card，其描述字段被精心构造以操纵编排者的 LLM 选择逻辑。这是在基础设施层运作的提示注入。

7.2 四层防御模型

1. mTLS 传输层身份验证——每个智能体持有 PKI 签发证书
2. OAuth 2.0 Client Credentials——短命访问令牌，限定特定能力范围
3. 签名 Agent Card——加密验证卡片是否由域所有者签发
4. 零信任任务路由——验证提交智能体的令牌是否具有其卡片中声明的作用域

VIII. 生态系统现状（2026 年 6 月）

关键工具/框架：

工具	用途
MCP Inspector	调试和测试 MCP 服务器
FastMCP	快速构建 MCP 服务器
LangChain MCP Adapter	LangChain 生态集成
LlamaIndex MCP Tools	LlamaIndex 生态集成

IX. MCP 崛起的五大驱动力

1. 首日开源——MIT 协议消除了供应商锁定顾虑
2. 协议简洁——JSON-RPC 2.0 over stdio/HTTP，任何语言都易于实现
3. Anthropic 信誉——与 Claude 同步发布，立即获得真实使用场景
4. OpenAI 背书——2025 年 3 月采纳，消除了"Anthropic 专属"的标签
5. 时机正确——2024-2025 年 AI Agent 用例爆发，市场急需标准化协议

X. 何时使用哪个协议？

场景	推荐协议
需要直接获取原始数据或工具访问	MCP
需要的能力无法用单次同步工具调用表达	A2A
所需专业能力存在于另一个有自身推理的 Agent 中	A2A
简单的数据库/API 查询	MCP
跨组织/跨供应商边界的智能体协作	A2A

Google 开发者指南建议：先从 MCP 开始做简单的工具集成；当需要不能表达为单次同步工具调用的能力时，引入 A2A。

---

XI. 下一步：协议的未来

MCP 1.0 已经稳定，但协议演进从未停止。MCP 工作组的 Roadmap 指出了几个方向：

• 跨 Agent 上下文共享——MCP + A2A 的更深层集成
• 企业级可观测性——W3C traceparent 跨 Agent 边界追踪
• Agent Registry——集中式服务发现、白名单、缓存
• 标准化安全审计——Agent Card 签名验证成为强制要求

从 2024 年 11 月的一个周末项目，到 2026 年全行业的标准基础设施——MCP 用 15 个月完成了大多数协议需要数年才能完成的旅程。它证明了：在 AI Agent 时代，最好的协议不是最复杂的，而是最简洁且时机正确的。