Cloudflare 公布 MCP 架构方案,应对企业面临的安全与治理风险
Cloudflare概要介绍了一种参考架构,用于在企业范围内扩展 Model Context Protocol(MCP)部署,并将集中式治理、远程服务器基础设施和成本控制视为生产就绪型代理系统的关键要求。 该公告发布之际,基于 MCP 的系统正面临着日益严格的审查。近期有研究指出,此类系统存在即时注入、供应链攻击以及服务器暴露或配置错误等风险,部分研究还证实,在 MCP 集成环境中存在任意代码执行和数据外泄的问题。 作为一种将 AI 代理与外部工具及数据源连接起来的开放标准,MCP 将面向代理的客户端与对接企业资源的后端服务器进行了分离。这种抽象化设计使代理能够自主检索数据并执行操作,但也在模型、工具和敏感系统之间引入了新的信任边界。研究人员指出,与传统的大语言模型(LLM)使用方式相比,MCP 架构扩大了攻击面,因为一条提示语就可能触发跨多个系统的连锁操作。 学术分析进一步表明,这些风险不局限于实现层面的缺陷,更源于协议层面的设计选择,它们可能会提高攻击代理-工具系统的成功率。 Cloudflare 认为,本地部署的 MCP 服务器存在重大的安全隐患,因为它们通常依赖未经审核的软件,而且缺乏集中管理。相反,该公司采用了一种新模式:将 MCP 服务器远程部署在其开发平台上,并由一个集中式的团队进行管理。 身份验证通过 Cloudflare Access 进行处理,该服务集成了单点登录(SSO)、多因素身份验证(MFA)以及设备状态和位置等上下文信号。MCP 服务器门户提供了一个统一的界面,用于发现和访问授权服务器,同时允许管理员强制执行数据丢失防护(DLP)规则和精细化工具访问控制等策略。 图片来源:CloudFlare 在成本控制方面,该架构还集成了一个“ AI 网关”,位于 MCP 客户端与底层语言模型之间。这使企业能够在不同模型提供商之间路由请求,同时施加使用限制,并在用户层面监控令牌消耗情况。 该公司还推出了“代码模式( Code Mode )”,旨在应对 MCP 工具定义日益增长的复杂性。与将每个 API 操作直接暴露给模型不同,“代码模式”将工具接口整合为一小组动态入口点,使模型能够按需发现并调用工具。Cloudflare 表示,此举可将令牌使用量减少多达 99.9%,从而缓解上下文窗口的限制。 虽然这些架构控制措施解决了安全性和成本方面的当务之急,但一些分析师认为,根本性的挑战可能不在于单个功能,而在于 MCP 如何融入代理系统的整体架构。Forrester指出,MCP 等协议常被误认为是治理层,但实际上,它们的功能更像是传输或互操作机制,与 RPC 或消息传递系统更为接近,而非策略引擎。 随着企业开始引入集中式控制层,这一区别变得尤为重要。最新研究表明,治理、可观测性和策略执行正逐渐成为代理架构中一个独立的“控制平面”关注点,其地位高于工具集成层和编排层。在这个背景下,像 Cloudflare 这样的方法可以看成是控制外部化这一更广泛发展趋势的一部分,而非 MCP 本身固有的特性。 声明:本文为 InfoQ 翻译,未经许可禁止转载。 