MCP 加入 Linux 基金会：5 项企业准备升级

2025年12月，Anthropic将模型上下文协议捐赠给新的Agentic AI基金会 在 Linux 基金会之下。 该基金会由 Anthropic 的创始捐款发起 （MCP），块（goose）和 OpenAI（AGENTS.md）。 2026 年 4 月，第一 完整的 MCP 开发峰会在纽约举行，并于同一周发布了 2026 年路线图。

治理变革消除了企业采购团队停滞不前的主要原因之一 2025 年批准 MCP 服务器：供应商锁定问题。 日常技术方向依然 通过 SEP 流程与维护者一起生活。 改变的是里面的审批路径 公司。 法律部门现在可以像对待 Kubernetes 一样对待 MCP：Linux 基金会项目 理事会、公共商标政策和中立的家园。

没有改变的是：企业对您的个人 MCP 服务器进行审查。 这些球队仍然想要 他们希望从任何内部 API 获得同样的东西。 五次升级将业余级 MCP 服务器升级为一台 通过采购审查的。 每一件都在一天之内发货。

升级 1：限定范围的凭据，而不是一个管理密钥

大多数参考 MCP 服务器都附带一个可控制整个服务器的 API 密钥。 一把钥匙泄露 授予所有工具。 采购团队看到了这一点并停止了审查。

替代方案：确定每个工具的范围，将范围与主体联系起来，并在工具上强制执行范围 处理程序。 范围检查是一行； 委托人来自您的身份提供商：

每个工具都会声明它需要的范围，并且处理程序会在执行其他操作之前强制执行它：

范围映射到一个熟悉的模式： dns.read, ssl.read, shortener.write。 读取范围门查找工具； 写范围门任何东西 改变状态。 破坏性工具有其自身的作用范围。 颁发给低信任代理的密钥得到 dns.read 没有别的； 发给内部自动化的密钥可以获得完整的 *.write 放。

升级 2：每个工具调用的结构化审计日志

SOC 2 CC7.2 询问谁在何时做了什么。 ISO 27001 A.12.4 也有同样的要求。 HIPAA 技术 保护措施需要对受保护数据的访问进行审计跟踪。 接受代理的 MCP 服务器 流量是一个API； 采购同样适用吧。

具有耐用接收器和实时水龙头的结构化审计日志记录涵盖了它：

两个水槽，两个用途。 持久日志（对象存储、仅附加 Kafka 主题或 D1 表）保存审计和事件后审查的证据线索。 实时事件总线 驱动 SIEM 检测和警报。 在写作之前对秘密进行编辑； 审核是合规性 工件，而不是泄露 API 密钥的地方。

升级 3：每个调用者的速率限制，而不是每个服务器的速率限制

服务器范围的速率限制并不能保护您免受某个行为不当代理的侵害。 正在重试的代理 循环在几秒钟内消耗掉整个配额并使所有其他调用者挨饿。 每位校长的限额 包含爆炸半径。

每个工具每个主体一个令牌桶为您提供两个旋钮：突发容量和持续速率。 代理爆表； 两秒内20次调用，然后空闲。 人类是稳定的。 两者都适合令牌桶 具有不同的参数。 当水桶排空时，扔一个 RateLimitError 与一个 retryAfterSeconds 提示，以便代理可以后退而不是重试。

对于生产流量，请使用 Redis、Unkey 或 Cloudflare KV 计数器支持存储桶。 的 上面的内存映射适用于单进程服务器； 任何集群都需要共享存储 因此，一个 pod 的使用量与另一 pod 的配额相同。

升级 4：使用两种工具模式公开长时间运行的作业

2026 MCP 路线图提出了传输可扩展性，包括异步任务支持。 直到 您的传输本身就不会让代理在单个工具调用上等待 45 秒。 运送两个工具：一个启动作业并返回 ID，另一个轮询状态。

代理开始审核，获取 ID，然后继续其他工作。 每 5 秒（或在 下一个模型回合）它调用 get_audit_status 与身份证件。 当状态翻转到 complete，附加结果有效负载。 这种模式在网络故障中仍然存在，适合 重新连接传输，目前适用于每个 MCP 客户端。

对于可以产生部分结果的作业（流审计、增量扫描），公开第三个 返回到目前为止所做的一切的工具。 然后代理决定是否等待或采取行动 部分数据。

升级5：服务器前面的网关或代理

有些职责不属于您的 MCP 服务器。 租户感知 TLS、OIDC 集成 SSO、响应编辑和整个队列的策略执行是网关问题。 运行它们 工具处理程序使服务器更改速度更慢且更难以验证。

配置驱动的网关使 MCP 服务器专注于工具执行：

网关终止 TLS，根据您的 SSO 验证 OIDC 令牌，强制执行每个工具的范围 要求，对每个租户应用速率限制，将审核事件写入 Kafka，并编辑响应 字段到达代理之前。 其背后的 MCP 服务器很简单； 它看到一个经过验证的 校长和干净的要求。 Solo.io 的代理网关和 MCP 参考等项目 Gateway 提供了大部分现成的产品。

奖励：诚实的工具注释

MCP工具注释（readOnlyHint, destructiveHint, idempotentHint, openWorldHint）是咨询性的，但是企业客户 阅读它们。 配置为需要人工确认破坏性工具的代理将提示 调用任何标记之前的运算符 destructiveHint: true。 获取注释 右：

经验法则：任何改变远程状态的东西都不是 readOnlyHint: true; 任何删除、取消或收费的行为 destructiveHint: true; 查找 对于相同的输入总是返回相同的答案 idempotentHint: true。 得到 这些错误就是代理人如何变成责任的； 把它们做好是很便宜的。

完整的企业准备清单

要点

• 治理消除了采购障碍。 中立 Linux 基金会管理 意味着合法可以像任何其他基金会项目一样对待 MCP：采用罚款，有标准 条款。
• 范围取代了管理密钥。 将每个工具绑定到一个范围，将每个主体绑定到一个 设置范围，并在处理程序中强制执行。 一线检查，姿势大升级。
• 审计日志是不可协商的。 耐用水槽加实时水龙头，有秘密 已编辑，包括同意 ID。
• 每个主体的费率限制可以保护租户之间的利益。 每令牌桶 每个工具的本金； 通过生产中的共享存储来支持它。
• 将异步工作公开为两种工具模式。 开始+状态节拍阻止 代理进行 45 秒的通话。
• 网关从服务器中提取策略。 OIDC、编辑和车队政策 存在于声明性配置中，而不是工具处理程序中。

Botoi 的 MCP 服务器通过 Streamable HTTP 公开了 49 个精选工具，网址为 api.botoi.com/mcp。 它在标头中转发 API 密钥，应用每个密钥的速率限制，以及 携带下游客户端读取的工具注释。 请参阅 MCP 设置页面 为了 Claude Desktop、Claude Code、Cursor、VS Code 和 Windsurf 配置，或阅读 API文档 到 查看上述五种模式如何映射到已发货的服务器上。