MCP が Linux Foundation に参加: 5 つのエンタープライズ対応アップグレード

2025 年 12 月、Anthropic はモデル コンテキスト プロトコルを新しい Agentic AI Foundation に寄付しました。 Linux Foundation の下にあります。 Anthropic からの設立寄付により財団が発足 (MCP)、ブロック (goose)、および OpenAI (AGENTS.md）。 2026 年 4 月に最初の 完全な MCP Dev Summit がニューヨーク市で開催され、同じ週に 2026 年のロードマップが公開されました。

ガバナンスの変更により、企業の調達チームが失速した主な理由の 1 つが取り除かれました。 2025 年に MCP サーバーを承認: ベンダー ロックインの懸念。 日々の技術的なディレクションはまだ続く SEP プロセスを通じてメンテナと共存します。 変わったのは内部の承認パスです 企業。 Legal は、Kubernetes を扱うのと同じように MCP を扱うことができるようになりました。これは Linux Foundation プロジェクトです。 理事会、公的商標ポリシー、そして中立的な家。

変更されなかった点: 個々の MCP サーバーのエンタープライズ レビュー。 それらのチームは依然として 内部 API に求めるものと同じものです。 5 回のアップグレードでホビーグレードの MCP サーバーが 1 つにアップグレードされます 調達審査に合格したもの。 それぞれ 1 日以内に発送されます。

アップグレード 1: 1 つの管理キーではなく、範囲指定された資格情報

ほとんどのリファレンス MCP サーバーには、サーバー全体をゲートする単一の API キーが付属しています。 漏洩したキー 1 つ あらゆるツールを与えます。 調達チームはそれを見て、そこでレビューを中止します。

代替案: すべてのツールのスコープを設定し、スコープをプリンシパルに結び付け、ツールでスコープを強制します。 ハンドラー。 スコープチェックは 1 行です。 プリンシパルはアイデンティティ プロバイダーから取得されます。

すべてのツールは必要なスコープを宣言し、ハンドラーは他のことを行う前にそれを強制します。

スコープはよく知られたパターンにマップされます。 dns.read、 ssl.read、 shortener.write。 読み取りスコープのゲート検索ツール。 書き込みスコープは、あらゆるものをゲートします 状態を変化させます。 破壊的なツールには独自の範囲があります。 信頼性の低いエージェントに発行されたキーは、 dns.read 他には何もありません。 内部オートメーションに対して発行されたキーは完全な情報を取得します。 *.write セット。

アップグレード 2: すべてのツール呼び出しの構造化された監査ログ

SOC 2 CC7.2 では、誰がいつ何をしたかを尋ねます。 ISO 27001 A.12.4 でも同様のことが求められています。 HIPAA テクニカル 安全対策には、保護されたデータにアクセスするための監査証跡が必要です。 エージェントを受け入れる MCP サーバー トラフィックは API です。 調達にも同じ基準が適用されます。

耐久性のあるシンクとリアルタイム タップを備えた構造化された監査ログがそれをカバーします。

2 つのシンク、2 つの目的。 永続的なログ (オブジェクト ストレージ、追加専用の Kafka トピック、または D1 表）には、監査およびインシデント後のレビューのための証拠証跡が保存されます。 リアルタイムイベントバス SIEM の検出とアラートを促進します。 書く前に秘密を編集してください。 監査はコンプライアンスです API キーを漏洩する場所ではありません。

アップグレード 3: サーバーごとではなく、発信者ごとのレート制限

サーバー全体のレート制限では、1 つの不正行為エージェントからユーザーを保護することはできません。 再試行中のエージェント ループはクォータ全体を数秒で消費し、他のすべての呼び出し元を枯渇させます。 プリンシパルごとの制限 爆発範囲が含まれます。

ツールごとのプリンシパルごとのトークン バケットにより、バースト容量と持続レートという 2 つのノブが得られます。 エージェントは爆発的です。 2 秒間で 20 件のコールが行われ、その後アイドル状態になります。 人間は安定している。 どちらもトークンバケットに適合します 異なるパラメータを使用します。 バケツの水がなくなったら、 RateLimitError と retryAfterSeconds エージェントが厳密に再試行する代わりに後退できるようにヒントを提供します。

本番トラフィックの場合は、Redis、Unkey、または Cloudflare KV カウンターを使用してバケットをバックアップします。 の 上記のインメモリ マップは単一プロセス サーバーには適しています。 クラスタ化されたものには共有ストアが必要です したがって、1 つのポッドの使用量は、別のポッドの使用量と同じクォータに対してカウントされます。

アップグレード 4: 2 つのツール パターンで長時間実行ジョブを公開する

2026 年の MCP ロードマップでは、非同期タスクのサポートを含むトランスポートのスケーラビリティが求められています。 まで トランスポートはネイティブで出荷されるため、1 回のツール呼び出しでエージェントを 45 秒待たせないでください。 2 つのツールを出荷します。1 つはジョブを開始して ID を返し、もう 1 つはステータスをポーリングします。

エージェントは監査を開始し、ID を取得し、他の作業を続けます。 5 秒ごと (または 次のモデルターン）それは呼び出します get_audit_status ID付き。 ステータスが に切り替わると、 complete、結果ペイロードが添付されます。 このパターンはネットワーク ブリップにも耐え、適合します。 再接続トランスポートであり、今日ではすべての MCP クライアントで機能します。

部分的な結果を生成する可能性のあるジョブ (ストリーミング監査、増分スキャン) の場合は、3 番目の結果を公開します。 これまでに行われたことをすべて返すツール。 その後、エージェントは待機するか、またはそれに基づいて行動するかを決定します。 部分的なデータ。

アップグレード 5: サーバーの前にゲートウェイまたはプロキシを設置する

一部の責任は MCP サーバーに属しません。 テナント対応 TLS、OIDC との統合 SSO、応答の編集、およびフリート全体のポリシーの適用は、ゲートウェイの懸念事項です。 それらを実行する ツール ハンドラーにより、サーバーの変更が遅くなり、認証が困難になります。

構成主導型ゲートウェイにより、MCP サーバーはツールの実行に集中し続けます。

ゲートウェイは TLS を終了し、SSO に対して OIDC トークンを検証し、ツールごとのスコープを適用します。 要件を満たし、テナントごとにレート制限を適用し、監査イベントを Kafka に書き込み、応答を編集します。 エージェントに届く前にフィールドに送信されます。 その背後にある MCP サーバーはシンプルなままです。 検証済みが表示されます プリンシパルとクリーンなリクエスト。 Solo.io の Agent Gateway や MCP リファレンスなどのプロジェクト ゲートウェイは、これらのほとんどを既製の状態で出荷します。

ボーナス: 正直なツールの注釈

MCP ツールの注釈 (readOnlyHint、 destructiveHint、 idempotentHint、 openWorldHint) はアドバイザリーですが、企業クライアント それらを読んでください。 破壊ツールに関して人間による確認を必要とするように設定されたエージェントは、 マークされたものを呼び出す前にオペレータ destructiveHint: true。 注釈を取得する 右：

経験則: リモート状態を変更するものはすべて無効です readOnlyHint: true; 削除、キャンセル、または請求するものはすべて destructiveHint: true; というルックアップ 同じ入力に対して常に同じ答えを返します。 idempotentHint: true。 入手 これらの間違いは、エージェントが責任を負う方法です。 それらを正しく行うのは安価です。

完全なエンタープライズ対応チェックリスト

重要なポイント

• ガバナンスは調達の阻害要因を排除しました。 中立的な Linux Foundation の管理責任 法律上、MCP を他の財団プロジェクトと同様に扱うことができることを意味します。採用には罰金があり、標準的なものです。 条件。
• スコープは管理キーを置き換えます。 すべてのツールをスコープに結び付け、すべてのプリンシパルをスコープに結び付ける スコープを設定し、ハンドラーで強制します。 一行チェックで姿勢大幅アップ。
• 監査ログは交渉の余地がありません。 耐久性のあるシンクとリアルタイムタップ、秘密付き 編集され、同意 ID が含まれます。
• プリンシパルごとのレート制限により、テナントが相互に保護されます。 トークンバケットあたり ツールごとのプリンシパル。 本番環境の共有ストアでバックアップします。
• 非同期作業を 2 つのツールのパターンとして公開します。 スタート + ステータスビートでブロック エージェントとの 45 秒間の通話。
• ゲートウェイはサーバーからポリシーを引き出します。 OIDC、リダクション、およびフリートのポリシー ツールハンドラーではなく、宣言的な構成に存在します。

Botoi の MCP サーバーは、Streamable HTTP 経由で 49 の厳選されたツールを公開します。 api.botoi.com/mcp。 ヘッダー内の API キーを転送し、キーごとのレート制限を適用し、 ダウンストリームクライアントが読み取ったツールの注釈を保持します。 を参照してください。 MCP設定ページ のために Claude Desktop、Claude Code、Cursor、VS Code、および Windsurf 構成を参照するか、 APIドキュメント に 上記の 5 つのパターンが出荷されたサーバーにどのようにマッピングされるかを確認してください。