Docker 近日推出了自己的 MCP（模型上下文协议）目录以及用于管理 MCP 工具的 MCP 工具包。

MCP目录是 Docker Hub 的一部分，Docker 声称其初始服务器超过 100 台，可访问 Elastic、Salesforce Heroku、New Relic、Stripe、Pulumi、Grafana Labs、Kong 和 Neo4j 等供应商的第三方工具。未来计划包括允许企业发布自己的定制 MCP 服务器，Docker 承诺将提供“全面的企业控制”。

MCP 旨在为 AI 代理提供标准化 API，用于控制这些服务器公开的服务，从而扩展 AI 代表用户执行任务的能力。如果您需要更深入的入门指导，我们提供了MCP 的实践指南。

MCP由 Anthropic于 2024 年 11 月推出，旨在“将 AI 助手连接到数据所在系统的新标准”。该协议已被 OpenAI、微软和谷歌等公司迅速采用；各大供应商纷纷推出 MCP 服务器，希望在 AI 代理工作流程中不失时机。这不仅仅是检索数据的问题：AI 代理还可以通过 MPC 服务器公开的功能执行任务，而这些功能的增强也带来了更大的风险。

安全公司 Wiz 推出了自己的 MCP 服务器，用于检测代码漏洞和其他活跃威胁，并描述了MCP 安全问题，包括：

• MCP 服务器暂时未提供官方注册，应该正在计划中；
• 恶意攻击者试图利用域名抢注和冒充等手段让开发人员安装恶意 MCP 服务器；
• “Rug pulls” 指的是合法的 MCP 服务器在获得采用后遭到恶意代码攻击；
• 提示注入，合法的 MCP 服务器被不受信任的内容操纵，从而触发“意外或危险的工具执行”。

Wiz 认为某些 AI 代理能够自动运行工具以实现“无缝的开发者体验”，但这存在风险，因为这将隐含地信任工具响应。 

一些客户，包括 Anthropic 的 Claude，都有针对恶意提示的防护措施，但其他客户可能没有，而且根据 Wiz 的说法，“这些防护措施不一致且不全面。”

安全机构 Trail of Bits 正在发布一系列关于 MCP 漏洞的文章，其中第一篇描述了一种名为“工具中毒”或“跳线”的攻击。当 MCP 客户端连接到服务器时，它会通过 tools/list 方法请求服务器提供哪些工具的详细信息。Trail of Bits 观察到，恶意 MCP 服务器可以利用此描述来操纵 AI 代理，例如，在任何命令前添加恶意前缀，并且不告知用户。Trail of Bits 指出，被入侵的 MCP 服务器可能会泄露代码、制造漏洞或隐藏安全警报。

在 Anthropic 最初的 MCP 概念中，始终会有一个人工参与，在命令执行之前验证其合法性和正确性。然而，在人工智能的世界里，这却存在问题，尤其是当人工智能的部分愿景在于帮助用户执行他们原本难以完成的操作时。

此类报告暗示，MCP 服务器和客户端正处于某种“蛮荒西部”阶段，虽然采用率正在增长，但安全隐患和边界尚未到位。Anthropic 目前建议开发者参考这份MCP 服务器列表，其中包括“未经测试，使用风险自负”的社区服务器。

在此背景下，Docker 验证的可信 MCP 服务器注册中心或许会受到欢迎，尽管它不太可能成为企业使用的唯一注册中心，尤其是在 Anthropic 的路线图上已经包含官方 MCP 注册中心的情况下。Docker 拥有诸如注册中心访问管理（Registry Access Management）之类的功能，它可以控制哪些注册中心可以通过 Docker Desktop 访问（尽管有一些方法可以使用命令行绕过它）；以及镜像访问管理（Image Access Management），它可以限制开发人员可以拉取的容器镜像数量。

作者：场长