MCP ist der Linux Foundation beigetreten: 5 Upgrades für die Unternehmensbereitschaft
MCP gehört zur Agentic AI Foundation und verzeichnet 97 Millionen monatliche SDK-Downloads. Fünf Upgrades, die Ihr MCP-Server benötigt, bevor die Unternehmensbeschaffung abgeschlossen wird, mit Code.
Im Dezember 2025 spendete Anthropic das Model Context Protocol an die neue Agentic AI Foundation
unter der Linux Foundation. Die Stiftung wurde mit Gründungsbeiträgen von Anthropic ins Leben gerufen
(MCP), Block (goose) und OpenAI (AGENTS.md). Im April 2026 der erste
Der vollständige MCP Dev Summit fand in New York City statt und die Roadmap für 2026 wurde in derselben Woche veröffentlicht.
Die Governance-Änderung beseitigt einen der Hauptgründe, warum Beschaffungsteams in Unternehmen ins Stocken geraten sind Zulassung von MCP-Servern im Jahr 2025: Bedenken hinsichtlich der Anbieterbindung. Immer noch die technische Leitung im Alltag lebt während des SEP-Prozesses mit den Betreuern zusammen. Was sich geändert hat, ist der Genehmigungspfad im Inneren Unternehmen. Die Rechtsabteilung kann MCP jetzt genauso behandeln wie Kubernetes: ein Linux Foundation-Projekt mit ein Verwaltungsrat, eine öffentliche Markenpolitik und ein neutrales Zuhause.
Was sich nicht geändert hat: Unternehmensüberprüfung Ihres individuellen MCP-Servers. Diese Teams wollen immer noch das die gleichen Dinge, die sie von jeder internen API erwarten. Fünf Upgrades machen aus einem Hobby-MCP-Server einen das eine Beschaffungsprüfung besteht. Jedes wird in weniger als einem Tag versendet.
Upgrade 1: Begrenzte Anmeldeinformationen, nicht ein Administratorschlüssel
Die meisten Referenz-MCP-Server werden mit einem einzigen API-Schlüssel ausgeliefert, der den gesamten Server sperrt. Ein Schlüssel ist durchgesickert gewährt jedes Werkzeug. Beschaffungsteams sehen das und stoppen die Überprüfung dort.
Der Ersatz: Geltungsbereich für jedes Tool, Bindung von Bereichen an einen Prinzipal und Durchsetzung des Geltungsbereichs beim Tool Handler. Die Bereichsprüfung ist eine Zeile; Der Prinzipal kommt von Ihrem Identitätsanbieter:
Jedes Tool deklariert den Bereich, den es benötigt, und der Handler erzwingt ihn, bevor er etwas anderes tut:
Scopes entsprechen einem bekannten Muster: dns.read, ssl.read,
shortener.write. Gate-Lookup-Tools für Lesebereiche; Schreiben Sie Scopes Gate alles, was
mutiert den Zustand. Zerstörerische Werkzeuge erhalten ihren eigenen Wirkungsbereich. Ein Schlüssel, der an einen Agenten mit geringem Vertrauen ausgegeben wird, erhält
dns.read und nichts anderes; Ein an eine interne Automatisierung ausgegebener Schlüssel erhält die volle Leistung
*.write Satz.
Upgrade 2: Strukturierte Audit-Protokolle für jeden Tool-Aufruf
SOC 2 CC7.2 fragt, wer was wann getan hat. ISO 27001 A.12.4 verlangt dasselbe. HIPAA-technisch Sicherheitsmaßnahmen erfordern einen Prüfpfad für den Zugriff auf geschützte Daten. Ein MCP-Server, der Agenten akzeptiert Traffic ist eine API; Bei der Beschaffung gilt die gleiche Messlatte.
Eine strukturierte Audit-Protokollierung mit einer dauerhaften Senke und einem Echtzeit-Tap deckt Folgendes ab:
Zwei Waschbecken, zwei Zwecke. Das dauerhafte Protokoll (Objektspeicher, ein nur anfügbares Kafka-Thema oder ein D1 Tabelle) enthält die Beweisspur für Audits und die Überprüfung nach einem Vorfall. Der Echtzeit-Event-Bus steuert SIEM-Erkennungen und -Warnungen. Schwärzen Sie Geheimnisse, bevor Sie schreiben. Bei der Prüfung handelt es sich um eine Compliance Artefakt, kein Ort zum Durchsickern von API-Schlüsseln.
Fügen Sie die hinzu consentId wenn ein Tool-Aufruf unter ausdrücklicher Zustimmung des Benutzers ausgeführt wurde (z
zerstörerische Operationen, also Tischeinsätze). Es verknüpft die Prüfzeile wieder mit der Genehmigung.
Schließen der Schleife bei „Wurde diese Aktion autorisiert?“
Upgrade 3: Tarifbegrenzung pro Anrufer, nicht pro Server
Eine serverweite Ratenbegrenzung schützt Sie nicht vor einem einzelnen Agenten, der sich schlecht verhält. Ein Agent in einem Wiederholungsversuch Die Schleife verbraucht das gesamte Kontingent in Sekunden und lässt jeden anderen Anrufer aushungern. Limits pro Auftraggeber enthalten den Explosionsradius.
Ein Token-Bucket pro Auftraggeber und Werkzeug bietet Ihnen zwei Knöpfe: Burst-Kapazität und Dauerrate.
Agenten sind geschäftig; 20 Anrufe in zwei Sekunden, dann Leerlauf. Der Mensch ist standhaft. Beide passen in einen Token-Eimer
mit unterschiedlichen Parametern. Wenn der Eimer leer ist, werfen Sie einen RateLimitError mit einem
retryAfterSeconds Hinweis, damit der Agent einen Rückzieher machen kann, anstatt es noch einmal zu versuchen.
Für den Produktionsverkehr sichern Sie die Buckets mit Redis, Unkey oder einem Cloudflare-KV-Zähler. Die Die obige In-Memory-Zuordnung eignet sich gut für Einzelprozessserver. Alles, was geclustert ist, benötigt einen gemeinsamen Speicher Daher wird die Nutzung eines Pods auf das gleiche Kontingent angerechnet wie die eines anderen Pods.
Upgrade 4: Machen Sie lang laufende Jobs mit einem Zwei-Werkzeug-Muster verfügbar
Die MCP-Roadmap 2026 fordert Transportskalierbarkeit einschließlich der Unterstützung asynchroner Aufgaben. Bis Da Ihr Transportdienst dies nativ ausliefert, lassen Sie den Agenten bei einem einzelnen Tool-Aufruf nicht 45 Sekunden warten. Versenden Sie zwei Tools: eines startet den Job und gibt eine ID zurück, das andere fragt den Status ab.
Der Agent leitet die Prüfung ein, erhält einen Ausweis und setzt andere Arbeiten fort. Alle 5 Sekunden (oder am
nächste Modellrunde) ruft es auf get_audit_status mit dem Ausweis. Wenn der Status wechselt zu
complete, die Ergebnisnutzlast ist angehängt. Dieses Muster überlebt Netzwerkausfälle, passt
ein Wiederverbindungstransport und funktioniert heute auf jedem MCP-Client.
Stellen Sie für Jobs, die Teilergebnisse liefern können (Streaming-Audits, inkrementelle Scans), ein drittes zur Verfügung Tool, das alles zurückgibt, was bisher getan wurde. Der Agent entscheidet dann, ob er wartet oder reagiert Teildaten.
Upgrade 5: ein Gateway oder Proxy vor dem Server
Einige Verantwortlichkeiten gehören nicht zu Ihrem MCP-Server. Mandantenfähiges TLS, OIDC-Integration mit SSO, Antwortschwärzung und flottenweite Richtliniendurchsetzung sind Gateway-Probleme. Ich führe sie ein Durch den Tool-Handler werden Änderungen am Server langsamer und die Zertifizierung erschwert.
Ein konfigurationsgesteuertes Gateway sorgt dafür, dass sich der MCP-Server auf die Toolausführung konzentriert:
Das Gateway beendet TLS, verifiziert OIDC-Token anhand Ihres SSO und erzwingt den pro Tool festgelegten Bereich Anforderungen, wendet Ratenbegrenzungen pro Mandant an, schreibt Prüfereignisse in Kafka und redigiert Antworten Felder, bevor sie den Agenten erreichen. Der MCP-Server dahinter bleibt einfach; es sieht verifiziert aus Schulleiter und eine saubere Anfrage. Projekte wie das Agent Gateway von Solo.io und die MCP-Referenz Gateway-Lieferung das meiste davon von der Stange.
Bonus: ehrliche Tool-Anmerkungen
Anmerkungen zum MCP-Tool (readOnlyHint, destructiveHint,
idempotentHint, openWorldHint) sind Beratungskunden, aber Unternehmenskunden
lies sie. Ein Agent, der so konfiguriert ist, dass bei zerstörerischen Tools eine menschliche Bestätigung erforderlich ist, wird dazu aufgefordert
Telefonist, bevor Sie etwas Markiertes anrufen destructiveHint: true. Holen Sie sich die Anmerkungen
richtig:
Faustregeln: Alles, was den Remote-Zustand verändert, ist es nicht readOnlyHint: true;
alles, was löscht, storniert oder belastet, ist destructiveHint: true; eine Suche, die
Gibt immer die gleiche Antwort für die gleichen Eingaben zurück idempotentHint: true. Erhalten
Diese Fehler führen dazu, dass Agenten zur Haftung werden. Sie richtig hinzubekommen ist billig.
Die vollständige Checkliste für die Unternehmenstauglichkeit
| Upgrade | Was der Einkauf verlangt | Wo es lebt |
|---|---|---|
| Begrenzte Anmeldeinformationen | „Kann ein durchgesickerter Schlüssel auf jedes Werkzeug zugreifen?“ | Authentifizierungs-Middleware + Umfangsprüfung pro Tool |
| Strukturiertes Audit-Protokoll | „Können Sie nachweisen, wer wann was angerufen hat?“ | Wrapper-Middleware + robuste Spüle |
| Tarifbegrenzung pro Anrufer | „Lässt ein schlechter Agent alle anderen verhungern?“ | Token-Bucket pro Prinzipal und Tool |
| Asynchrones Auftragsmuster | „Was passiert, wenn ein Werkzeug 45 Sekunden benötigt?“ | Startwerkzeug + Statuswerkzeug + Auftragsspeicher |
| Tor vorne | „Wie setzen Sie flottenweite Richtlinien durch?“ | OIDC + Scope + Redact-Gateway |
| Ehrliche Anmerkungen | „Welche Werkzeuge sind zerstörerisch?“ | Metadaten zur Werkzeugregistrierung |
Wichtige Erkenntnisse
- Governance hat einen Beschaffungsblocker entfernt. Neutrale Verantwortung der Linux Foundation bedeutet, dass die Rechtsabteilung MCP wie jedes andere Foundation-Projekt behandeln kann: gut zu übernehmen, mit Standard Begriffe.
- Scopes ersetzen Admin-Schlüssel. Binden Sie jedes Werkzeug an einen Bereich, jedes Prinzip an einen Bereich festlegen und beim Handler erzwingen. One-Line-Check, große Verbesserung der Körperhaltung.
- Audit-Protokolle sind nicht verhandelbar. Robustes Waschbecken und Echtzeit-Wasserhahn mit Geheimnissen redigiert, Einwilligungs-IDs enthalten.
- Tarifbegrenzungen pro Auftraggeber schützen die Mieter voreinander. Token-Bucket pro Auftraggeber pro Werkzeug; unterstützen Sie es mit einem gemeinsamen Lager in der Produktion.
- Stellen Sie asynchrone Arbeit als Muster mit zwei Tools bereit. Start + Status schlägt das Blockieren des Agent bei einem 45-Sekunden-Gespräch.
- Ein Gateway ruft Richtlinien vom Server ab. OIDC-, Schwärzungs- und Flottenrichtlinien Live in deklarativer Konfiguration, nicht in Tool-Handlern.
Der MCP-Server von Botoi stellt 49 kuratierte Tools über Streamable HTTP unter zur Verfügung
api.botoi.com/mcp. Es leitet API-Schlüssel in Headern weiter, wendet Ratenbegrenzungen pro Schlüssel an und
Überträgt die Werkzeuganmerkungen, die von nachgeschalteten Clients gelesen werden. Siehe die
MCP-Setup-Seite für
Claude Desktop, Claude Code, Cursor, VS Code und Windsurf-Konfigurationen, oder lesen Sie die
API-Dokumente zu
Sehen Sie, wie sich die fünf Muster oben auf einen ausgelieferten Server übertragen lassen.
FAQ
- Was ist die Agentic AI Foundation und warum ist sie für MCP wichtig?
- Die Linux Foundation kündigte die Agentic AI Foundation (AAIF) mit Anthropics Model Context Protocol, Blocks Goose und OpenAIs AGENTS.md als Gründungsprojektbeiträge an. AAIF unterstellt MCP einer herstellerneutralen Governance, wodurch ein gängiges Hindernis bei der Beschaffung von Unternehmen beseitigt wird: die Abhängigkeit von einem einzigen Anbieter für das Protokoll. Die tägliche technische Leitung bleibt durch den SEP-Prozess bei den Betreuern; Die Governance reift, ohne dass sich ändert, wer den Code versendet.
- Muss mein MCP-Server neu geschrieben werden, um die Unternehmensprüfung zu bestehen?
- Nein. Die meisten Server benötigen fünf Ergänzungen, keine Umschreibung: begrenzte Anmeldeinformationen anstelle eines einzelnen Administratorschlüssels, strukturierte Überwachungsprotokollierung, Ratenbegrenzungen pro Anrufer, ein Gateway- oder Proxy-Muster für die Durchsetzung von Richtlinien und explizite Tool-Anmerkungen, die das Opt-in für destruktive Vorgänge ermöglichen. Alle fünf werden in einen vorhandenen Server eingebunden, der bereits Streamable HTTP-Transport beherrscht.
- Warum verlangen Unternehmen Prüfprotokolle für MCP-Tool-Aufrufe?
- Ein KI-Agent, der mit einem MCP-Server ausgeführt wird, verfügt über dieselben effektiven Berechtigungen wie jeder API-Aufrufer. Audit-Trails belegen, welcher Benutzer, auf welchem Gerät, mit welcher Einwilligung, wann eine destruktive Aktion ausgeführt hat. Ohne sie kann die Reaktion auf Vorfälle nicht beantworten, was sich nach einer sofortigen Injektion oder einem Fehlverhalten des Wirkstoffs geändert hat. Die meisten Compliance-Frameworks (SOC 2 CC7, ISO 27001 A.12.4, technische Schutzmaßnahmen des HIPAA) erfordern bereits diese Protokollierungsstufe für den menschlichen API-Zugriff; Enterprise Review erweitert die gleiche Leiste auf den Agentenzugriff.
- Wie bearbeite ich lang laufende Jobs über MCP, ohne den Agenten zu blockieren?
- Die MCP-Roadmap für 2026 listet die Transportskalierbarkeit einschließlich der Unterstützung asynchroner Aufgaben auf. Bis Ihr Transport dies nativ ausliefert, geben Sie sofort eine Job-ID aus dem Tool-Aufruf zurück, stellen Sie ein zweites Tool bereit, das den Status anhand der ID abfragt, und halten Sie die erste Antwort unter 30 Sekunden. Der Agent beginnt mit der Arbeit, setzt andere Arbeiten fort und meldet sich noch einmal. Dies ist das gleiche Muster, das REST-APIs für Unternehmen seit einem Jahrzehnt verwenden. Es lässt sich sauber auf MCP-Tools abbilden.
- Sollte ich vor meinem MCP-Server ein Gateway platzieren?
- Ja, sobald Sie ein zweites Team oder einen zweiten Kunden hinzufügen. Ein Gateway übernimmt drei Dinge, die Ihr Server nicht tun sollte: mandantenbezogene Authentifizierung, Ratenbegrenzung pro Bereich und Anforderungs-/Antwortprüfung zur Richtliniendurchsetzung. Sie sorgen dafür, dass sich der MCP-Server auf die Tool-Ausführung konzentriert, und das Gateway trägt die Compliance-Gewicht. Projekte wie das Agent Gateway von Solo.io und das MCP-Referenz-Gateway liefern dieses Muster sofort aus.
Starte mit botoi zu entwickeln
150+ API-Endpunkte für Abfragen, Textverarbeitung, Bildgenerierung und Entwickler-Tools. Kostenloser Tarif, keine Kreditkarte nötig.