跳到主要内容

Anthropic-Claude与MCP

核对日期:2026-05-09。

1. 定义与边界

Anthropic Claude 生态包括 Claude 模型、Messages API、tool use、computer use、MCP connector、提示缓存和上下文相关能力。MCP(Model Context Protocol)是连接 AI 应用与工具、资源、提示词的开放协议,不属于 Anthropic 私有协议,但 Anthropic 是重要推动者。

2. 官方能力、社区能力、实验能力和营销说法

类型内容
官方能力Claude 模型、Messages API、tool use、prompt caching、MCP 规范与官方 SDK
社区能力各类 MCP server、Claude 与第三方框架集成
实验/快速变化computer use beta、MCP connector beta、部分模型新参数
营销说法“接 MCP 就能安全连接所有工具”不成立,安全仍由宿主应用和 server 共同承担

3. 核心机制

Claude tool use 的核心是模型返回工具调用意图,应用执行工具并把结果回传。MCP 则把工具、资源和提示词通过统一协议暴露给客户端。

4. 架构与工程实现

MCP 适合把“上下文来源”和“工具能力”标准化。工程上应拆三层:

责任
Claude/API 层模型调用、tool use、上下文构造
MCP 客户端层server 发现、连接、能力列表、调用
工具网关层鉴权、审批、审计、限流、结果过滤

示例工具策略:

mcp_servers:
  github:
    allowed_tools: ["search_issues", "create_pull_request_draft"]
    denied_tools: ["merge_pull_request"]
    approval_required: ["create_pull_request_draft"]
security:
  external_content_label: "untrusted"
  log_tool_arguments: true
  redact_fields: ["token", "password", "secret"]

5. 生产实践

  • MCP server 不应默认获得全量凭证;按工具、租户、资源范围发放权限。
  • tool result 要标注来源,避免被模型当成系统指令。
  • computer use 属于高风险能力,默认应运行在隔离环境并限制可访问页面、文件和凭证。
  • prompt caching 能降低重复长前缀成本,但要处理缓存失效、隐私和供应商策略。
  • MCP transport、授权和安全最佳实践要按最新规范实现。

6. 常见反模式

反模式风险
把 MCP 当安全边界协议不替代权限和审计
允许模型自由调用所有 server横向越权和数据外泄
computer use 接入真实生产桌面凭证泄露和不可逆操作
未区分资源与工具只读上下文变成可写操作

7. 评测方法

评测 tool use 时检查工具选择、参数、结果引用和越权拒绝。评测 MCP 时增加 server 权限、transport 故障、恶意工具描述、资源注入和 prompt injection 用例。

8. 安全与治理

MCP 安全重点包括用户同意、权限最小化、token 保护、server 信任、工具投毒、数据外泄和审计。任何 MCP server 上线前都应做威胁建模和 allowlist 审核。

9. 权威资料

10. 二次精修:Claude 工具使用与 MCP 边界

10.1 官方能力分层

层级能力工程含义
Claude APImessages、tool use、structured outputs、extended thinking、vision适合高质量推理与工具调用
Agent 工具tool use、MCP connector、computer use适合把 Claude 接入企业工具和桌面/浏览器任务
MCP 生态tools、resources、prompts、authorization、transports适合作为跨应用工具协议
管理能力usage、workspace、组织级配置仍需企业 IAM 和审计系统配合

10.2 MCP 适用场景

场景推荐
多客户端复用同一企业工具用 MCP Server 包装工具,但前置权限网关
IDE、桌面、内部系统共享上下文用 resource/prompt/tool 明确边界
工具生态需要跨模型供应商MCP 作为协议层,业务权限仍在本地
远程连接第三方工具强制认证、授权、scope、审计和版本锁

10.3 不适用场景

  • 把 MCP 当成天然安全边界。
  • 允许任意 server 动态接入生产租户。
  • 让工具描述决定访问权限或数据分类。
  • 在真实生产桌面上直接启用 computer use 执行不可逆操作。

10.4 MCP 安全流程

10.5 集成边界

边界风险控制
Tool写操作、外发、删除工具网关、审批、参数校验
Resource过宽读取、跨租户ACL、字段裁剪、source metadata
Prompt恶意模板、策略覆盖只允许受信模板,版本评审
Server动态变化、供应链allowlist、签名、版本锁、禁用开关

10.6 评测与安全

评测项用例
Tool use 正确性相似工具、缺失参数、错误返回、重试
MCP 投毒恶意 description、schema 欺骗、返回注入
权限边界跨租户 resource、超 scope tool、过期 token
Computer use误点击、凭证暴露、不可逆表单提交
审计能按 run 重建 server、tool、resource、approval

10.7 生产实践

  • 对每个 MCP Server 建立 owner、版本、scope、数据级别和停用方式。
  • 工具返回必须作为 untrusted observation,不能当作新系统指令。
  • 对远程 MCP 使用独立凭证,不复用用户长 token。
  • 高风险 tool use 必须进入审批,审批绑定参数摘要。
  • computer use 优先使用隔离浏览器/虚拟桌面,禁止直接操作管理员会话。

10.8 官方核对更新

  • Anthropic 官方文档把 tool use、MCP connector 和 computer use 作为 Agent 能力入口,但并不替代企业安全控制。
  • MCP 2025-11-25 规格包含授权相关内容;实现时必须关注 server 身份、client 授权和用户同意。
  • MCP 的 prompts/resources/tools 都可能成为攻击面,安全审查不能只看 tool 代码。

核对日期:2026-05-09。

10.9 上线验收补充

验收项通过标准
MCP server 准入owner、scope、认证方式、版本和停用开关齐全
Tool/resource 边界只读资源不能被工具写回,写工具必须审批
Claude tool use工具参数可解释、失败可重试、越权会拒绝
Computer use使用隔离环境,真实提交动作必须人工确认
数据外发外部域名、邮箱、Webhook 全部经过 allowlist
审计run、server、tool、resource、approval 可关联
回归投毒、注入、跨租户、过期 token 用例通过

这些验收项应写进 MCP Server 的发布模板,而不是只保存在安全团队文档里。