Anthropic 4巨头密会：MCP安全路线图藏着3个反直觉设

去年企业还在争论大模型（LLM）要不要接外部工具，今年问题变成了：怎么接才不会把数据家底全漏出去。

4月2日，Anthropic、AWS、微软、OpenAI 四家公司的 MCP（模型上下文协议）维护者在开发者峰会上摊牌，发布了一份企业安全路线图。这不是例行更新——这是四家竞争对手第一次坐下来，给 AI 工具调用划红线。

「我们得先承认，MCP 现在的安全模型是半吊子」

Anthropic 工程师 David Soria Parra 开场就撂了实话。他负责 MCP 规范的核心维护，说话风格像产品经理写事故复盘：先认栽，再给方案。

现场公布的数字有点扎眼：MCP 规范自 2024 年 11 月开源以来，GitHub 星标数从 0 涨到 2.1 万，但企业级安全功能的 PR（Pull Request，代码合并请求）只合并了 17%。「社区热情很高，生产环境敢用的没几个。」

AWS 的代表接话更直接：「我们的企业客户问得最多的不是『能做什么』，是『怎么证明它不会乱来』。」

路线图里的三个「反直觉」

四家公司拿出的方案，有几个设计会让安全工程师愣一下。

第一，拒绝「默认信任」。传统 API 授权是一次性的，MCP 要求每次工具调用都重新验身份。微软工程师比喻：「就像你进小区，不是刷一次门卡管一天，是每进一栋楼都要再验。」

这会带来延迟。Parra 承认「单次调用可能慢 50-200 毫秒」，但四家的共识是：企业宁愿慢点，也不想事后写事故报告。

第二，把「拒绝权」塞给用户端。OpenAI 的方案里，LLM 可以建议调用某个工具，但最终执行前必须弹窗让用户确认——哪怕是在自动化工作流里。「我们知道这很烦，」OpenAI 工程师说，「但『烦』比『赔』好。」

第三，审计日志要「可打官司」。不是记个时间戳完事，而是每个工具调用的输入输出、权限上下文、决策链条，全部结构化存储。AWS 的措辞很法务：「满足 SOX 合规只是底线，我们的目标是让你在法庭上能自证清白。」

竞争者的共谋时刻

四家坐在一起本身，比技术细节更值得玩味。

Anthropic 是 MCP 的发起方，2024 年 11 月开源时没人想到竞争对手会跟进。AWS 今年 2 月宣布支持，微软 3 月跟进，OpenAI 直到上周才表态——但一表态就是工程师到场、路线图共签。

一位在场开发者提问：「你们怎么保证不会各自搞私有扩展？」

Parra 的回答很产品经理：「我们签的是『最小公分母』协议。每家可以往上加料，但底层互通是底线。否则用户会用脚投票——谁搞封闭，谁被集成商抛弃。」

微软工程师补了一句：「我们的 Power Platform 有 800 万开发者，但 MCP 如果分裂成四个方言，这数字就是笑话。」

企业还在等的一个答案

路线图发布了，但现场投票显示：62% 的参会企业表示「2025 年内没有生产环境部署计划」。

顾虑很实在。一位金融科技公司的架构师会后说：「规范写得再细，最后要看云厂商的控制台有没有一键开关。现在 Anthropic 有、AWS 有，微软说 Q3 上，OpenAI 还没时间表。」

四家的共识是 2025 年 Q3 推出统一合规认证，让企业可以「一次审计，四家通行」。但 Parra 最后留了句话：「认证是认证，敢不敢用是你们的事。我们先把红线画清楚。」