MCP vs CLI debate... Anthropic just reported 300M MCP SDK downloads, up from 100M at the start of the year. The protocol is not dying. It is the fastest growing piece of agent infrastructure right now.
MCP:AI Agent 的「USB-C 时刻」,PM 需要重新评估产品集成架构
MCP(模型上下文协议)正把 AI Agent 从「专属集成」变成「即插即用」。AWS 刚宣布 GA、SDK 下载量突破 3 亿次——这对 PM 意味着什么,以及三个现在就要做的产品决策。
リサーチノート
过去两年,每次想在产品里接入 AI Agent 能力,工程团队给的答案几乎都是同一个:「需要专项开发,3 到 6 个月。」原因是每个外部工具——数据库、日历、CRM、代码编辑器——都有自己的 API 规范,Agent 要调用它们,必须逐一手工适配。
现在有一个协议正在改变这件事:MCP(模型上下文协议,Model Context Protocol)。2024 年底由 Anthropic 发布,2025 年已被 AWS、Databricks、Google Cloud 等主流云厂商全面支持,最新数据显示 MCP SDK 下载量已突破 3 亿次1。2026 年 5 月 6 日,AWS MCP Server 宣布正式 GA(全面可用)2。
这不是一个程序员工具。对 PM 来说,MCP 改变的是 AI 产品的集成成本曲线——进而改变应该在哪里卡位、应该把工程资源押在哪一层。
技术是什么:给 AI Agent 的「万能适配器」
在 MCP 出现之前,AI Agent 访问外部工具的方式像早期手机充电口——每家一个标准,Micro-USB、Lightning、各种私有接口,互不兼容。想接什么工具,就得写一套适配代码。
MCP 做的是把这件事标准化。它定义了一套开放协议,任何工具——数据库、搜索引擎、企业内网服务——只要按 MCP 规范暴露一个「服务器端」,任何支持 MCP 的 AI 客户端(Claude、Cursor、Kiro 等)就能直接调用,无需额外适配。
用 X 上流传的一句话概括:「MCP 正在成为 AI 的 USB-C——一个开放标准,让 Agent 可以调用任何工具、访问任何 API 或数据源」3。
协议结构三要素
| 角色 | 是什么 | 类比 |
|---|---|---|
| MCP 客户端 | AI 应用(Claude、Cursor 等) | 手机 |
| MCP 服务器 | 工具/数据源暴露的标准接口 | 充电器 |
| MCP 协议 | 双方通信规范 | USB-C 接口标准 |
MCP 服务器可以暴露三类能力:可调用的工具(Tool)、可读取的资源(Resource)、可复用的提示模板(Prompt)。Agent 在运行时动态发现这些能力,按需调用,而不是在开发时硬编码。
解决什么问题:从「专属集成」到「即插即用」
以往 AI Agent 卡在哪里?核心矛盾是:企业的真实数据在内部系统里,而 AI 模型只有截止某个日期的训练知识。两者之间没有标准桥梁,导致三类重复性痛点:
- 知识过时:Agent 不知道最新发布的服务/政策,给出基于过时训练数据的错误建议
- 权限混乱:给 Agent 授权访问内部系统,容易产生过度权限;没有细粒度控制机制
- 审计缺失:Agent 对外部系统的操作无法单独记录,企业合规要求难以满足
AWS MCP Server 的 GA 是一个清晰的样本:以接入 AWS 为例,未接入时 AI Agent 会推荐过时服务(如用 S3 存储向量时,忽略 2025 年 12 月才 GA 的 Amazon S3 Vectors)2。接入后,Agent 可以实时查阅最新 AWS 文档,调用 15,000+ 个 API,且每次操作都由 CloudTrail 完整记录,支持把 Agent 操作单独隔离在只读 IAM 策略下2。
Databricks 的 MCP Marketplace 则展示了另一个维度:让 Agent 实时接入 Moody's 信用评级、You.com 实时网页搜索、Cotality 房产数据等外部智能服务,从而把「贷款审批 Agent」从只能查内部台账,升级为能同时调取信用评级、市场行情、竞争对手动作的决策助手4。
有什么值得注意的风险
MCP 带来便利,也打开了新攻击面。2025 年 11 月,一篇 ArXiv 论文系统梳理了其安全隐患5:
- 工具投毒:恶意 MCP 服务器可以在工具描述里埋入指令,诱导 Agent 执行非预期行动
- 跨系统权限提升:Agent 通过 MCP 可以跨多个系统操作,一旦某个 MCP 服务器被攻破,风险可能传导到其他集成系统
- 数据渗漏:Agent 在工作流中汇聚了大量上下文,可能被构造的恶意输入引导泄露敏感信息
2026 年 5 月 20 日,美国国家安全局(NSA)专门发布了针对 MCP 的安全框架,提醒部署自主 Agent 的企业注意「隐式信任边界」问题——MCP 的动态工具调用机制可能绕过传统安全边界6。
コンテンツカードを読み込んでいます…
这条推文展示了技术社区对 MCP 效率提升的真实案例:Cloudflare 把 250 万 token 的完整 API 文档压缩到 1K token 按需调用,效率提升幅度极为显著1。
PM 的产品含义
MCP 对 PM 的决策影响集中在三个判断点:
集成成本重估
当「接入外部数据/工具」的边际成本从专项开发降到配置一个 MCP 服务器,产品路线图上那些「因技术成本过高被推后」的功能需要重新评估。尤其是依赖实时外部数据的场景——行情、信用评级、物流状态——原来的 6 个月工期现在可能是 1 周。
这不是说所有集成都变简单,复杂权限控制和合规审计仍然需要工程投入;但判断工作量的基线变了。
架构卡位逻辑
MCP 生态里有三种角色,不同公司卡在不同层:
| 角色 | 做什么 | 谁在这层 |
|---|---|---|
| MCP 客户端(宿主) | 提供支持 MCP 的 AI 应用界面 | Claude、Cursor、Kiro、VS Code |
| MCP 服务器(能力提供方) | 把自己的数据/能力标准化暴露 | AWS、Moody's、Salesforce、内部系统 |
| MCP 市场(发现/分发) | 聚合和治理 MCP 服务器目录 | Databricks Marketplace、Anthropic |
对大厂 PM 来说,最务实的问题是:你的业务有没有足够独特的数据或能力,值得做成一个 MCP 服务器? 如果有,这是让自己的数据进入 AI 生态的标准入口,比等对方来集成主动得多。
做 AI 应用产品的 PM 则需要反向评估:你的 AI 产品接入了哪些 MCP 服务器?用户使用你的产品时 Agent 能访问到的数据范围,决定了你产品能力的边界。
安全需要提前纳入规格
NSA 的警告不是危言耸听。在产品规格里,有三件事应该从第一天就写清楚:
- Agent 通过 MCP 可以访问哪些系统、最高权限边界是什么
- MCP 服务器来源是否经过审核(只用官方或内部维护的,避免第三方未审核服务器)
- Agent 的操作日志是否有独立审计路径,满足企业合规要求
目前 MCP 生态仍在快速扩张,安全实践尚未完全成熟,NSA 框架提供了基础参考,但企业级落地需要比框架更细致的实施规范。对 PM 来说,现在的任务不是等生态稳定再行动,而是在尝试时把安全控制条件从一开始就设计进去。
一句话 takeaway:MCP 把 AI Agent 的「集成成本曲线」向左移了一段距离。这段距离有多远,取决于你的工具是否已经有 MCP 服务器;判断距离是否够远,是 PM 现在应该开始做的事。
このコンテンツについて、さらに観点や背景を補足しましょう。