MCP 2.0 安全：每位 CISO 在部署 AI 代理前必须问的三个问题

观点

Vernell 是 Commvault 的首席安全与 AI 智能专家，他为企业 AI 代理部署的安全问题提供了一堂精彩的课程。当大多数 MCP 讨论都聚焦于功能时，这次对话探讨的是出问题时会发生什么——以及新的 2.0 规范如何改变安全考量。

从 MCP 1.x 到 2.0 的演进： 这一转变代表着根本性的理念变化。"1.x was really about onboarding us, our technology to move forward to using AI. Step two is really securing those models."（1.x 版本真正关注的是让我们和我们的技术能够使用 AI。第二步则是真正保护这些模型的安全。）这不是渐进式的改进——而是行业承认没有安全保障的采用会产生不可接受的风险。

MCP 2.0 的三个基础性变化： 首先，OAuth 支持带来了 Vernell 所说的"互联网的 Active Directory"——终于允许企业为加密密钥分配权限和特权。其次，结构化模式的作用类似于参数化 SQL 查询，创建白名单来精确定义工具可以执行的操作。"These structures allow you to define specifically what actions a tool is able to do and anything else it will just ignore."（这些结构允许你精确定义工具能够执行的操作，其他任何操作都会被忽略。）第三，征询流程引入了人工监督的暂停点。

关于现存的差距： 即使有了 2.0 版本，企业仍然无法通过加密方式验证 MCP 服务器是否合法。"Clones and copies exist, tools are modified, tools are added, and we have no way of verifying today cryptographically that this is our original MCP server we're interfacing with."（克隆和副本存在，工具被修改，工具被添加，而我们今天没有任何加密方式来验证我们连接的是原始的 MCP 服务器。）这是一个重大的信任问题，仅靠协议更新无法解决。

三问风险框架： Vernell 的实用方法穿透了复杂性：（1）我的代理有什么权限？只读加护栏是低风险；删除/编辑/移动功能需要锁定。（2）影响范围有多大？一个用户、整个应用，还是在企业内横向移动？（3）操作的可逆性如何？读取信息与删除信息完全不同。

关于未来方向和可见性： "We spent 20 years trying to secure how software is developed securely. And AI is not going to get a shortcut to this because it's new to the party."（我们花了 20 年试图确保软件开发的安全性。AI 不会因为是新来者就能走捷径。）未来的重点将是运行时可见性、审计日志和合规性——企业需要证明其 AI 代理正确运行，尤其是在发生第三方供应链攻击时。

关键要点

• MCP 2.0 以安全为先 - 与专注于采用的 1.x 版本不同，2.0 引入了 OAuth、结构化模式和征询流程，专门用于保护 AI 代理部署的安全
• 服务器信任问题仍未解决 - 没有加密方式来验证 MCP 服务器是否合法；组织必须独立实施网络隔离和工具签名
• 风险评估的三个问题 - 权限级别、影响范围和操作可逆性构成了评估任何 AI 代理部署的简单但有效的框架
• 人工审核必不可少 - 高影响操作应触发审批流程；征询流程启用了以前不存在的暂停点
• 运行时可见性至关重要 - 企业需要有意义的审计日志，以证明合规性并防御供应链攻击指控
• 预计更多安全供应商出现 - 与云安全的演进类似，第三方工具将出现以增强原生 AI 代理安全能力

全局视角

MCP 2.0 代表了行业首次认真尝试保护生产环境中 AI 代理的安全，但这仅仅是开始。对于部署能够执行实际操作——编辑文件、移动数据、与系统交互——的代理的组织来说，该协议提供的是护栏，而非保证。实际建议：像十年前对待云安全一样对待 AI 代理安全，并为必然需要的专业工具做好预算。