作者 | Tim Anderson

譯者 | 平川

策劃 | Tina

本文最初發布于 DEV CLAS。

Docker 推出了自己的 MCP（模型上下文協議）目錄和用于管理 MCP 工具的 MCP Toolkit。

MCP Catalog 是 Docker Hub 的一部分，該公司聲稱其有 100 多臺初始服務器，可以訪問來自 Elastic、Salesforce Heroku、New Relic、Stripe、Pulumi、Grafana Labs、Kong 和 Neo4j 等供應商的第三方工具。未來，他們計劃讓企業發布自定義的 MCP 服務器，而 Docker 承諾將提供 “全面的企業控制”。

MCP 的目的是為 AI 代理提供一個標準化的 API，用于控制這些服務器提供的服務，從而擴展 AI 代表用戶執行任務的能力。如果您正在尋找一份友好的入門指南，可以看一下我們為您準備的 MCP 實踐指南。

MCP 由 Anthropic 公司于 2024 年 11 月推出，是 “一個連接 AI 助手與數據所在系統的新標準”。該協議被包括 OpenAI、微軟和谷歌在內的許多公司迅速采用；供應商們爭先恐后地提供 MCP 服務器，誰都不希望錯過代理 AI 工作流。這不僅僅是一個數據檢索的問題：AI 代理還可以通過 MPC 服務器提供的功能執行任務，而隨著功能的增加，風險也隨之增加。

安全機構 Wiz 推出了自己的 MCP 服務器，用于檢測代碼漏洞和其他主動威脅。他們提到的 MCP 安全問題包括：

• 沒有 MCP 服務器的官方注冊中心，但有建一個的計劃

• 惡意行為者試圖讓開發者安裝惡意 MCP 服務器，從而實現域名搶注和假冒行為

• “拉地毯騙局“，即在采用合法的 MCP 服務器后植入惡意代碼

• 提示注入，即合法的 MCP 服務器被不受信任的內容操縱，從而觸發 “意外或危險的工具執行”

Wiz 認為，為了實現 “流暢的開發體驗”，讓一些 AI 代理自動運行工具，這存在風險，因為這暗含對工具響應的絕對信任。

一些客戶端，包括 Anthropic 的 Claude ，有防止惡意提示的防護措施，但其他客戶端可能沒有，Wiz 認為， “這些防護措施不一致，也不全面”。

安全機構 Trail of Bits 發布了一系列有關 MCP 漏洞的文章，其中第一篇描述了一種名為工具投毒或插隊（line jumping）的攻擊。當 MCP 客戶端連接到服務器時，它會通過 tools/list 方法請求服務器所提供工具的詳細信息。據 Trail of Bits 觀察，惡意 MCP 服務器可以利用這些描述來操縱 AI 代理，比如在任意命令前加入惡意前綴，并且不告訴用戶。Trail of Bits 指出，被入侵的 MCP 服務器可能會外泄代碼、制造漏洞或抑制安全警報。

在 Anthropic 最初的 MCP 概念中，始終要有人參與其中，在運行命令之前驗證命令的合法性和正確性。但在 AI 領域，這是有問題的，尤其是在 AI 承諾幫助用戶執行他們認為困難的操作時。

這些報告似乎在說，MCP 服務器和客戶端正處于 “狂野西部”階段，其采用率在不斷增長，但安全影響和邊界尚不明確。目前，Anthropic 為開發人員提供了這份 MCP 服務器列表，其中包括 “未經測試、使用風險自負”的社區服務器。

在這種情況下，經過 Docker 驗證的可信任的 MCP 服務器注冊中心可能會很受歡迎，不過它不太可能成為企業唯一使用的注冊中心，Anthropic 已將官方 MCP 注冊中心加入自己的路線圖。Docker 提供了注冊中心訪問管理（Registry Access Management）和鏡像訪問管理（Image Access Management）等功能，前者可以控制哪些注冊中心可通過 Docker Desktop 訪問（不過也有使用命令行繞過它的方法），后者可以限制允許開發人員拉取的容器鏡像。

https://devclass.com/2025/04/22/docker-introduces-mcp-catalog-and-toolkit-as-vendors-scramble-to-support-the-protocol-despite-security-concerns

聲明：本文為 InfoQ 翻譯，未經許可禁止轉載。