最近, 已经没有自媒体在吹MCP了。
过去很长一段时间,所有人都知道,MCP作为 AI界的USB-C接口,主打一个简单易用,似乎只要是个工具,套上MCP就能立刻AI化,被大模型调用。
但是!MCP为了追求极致的上手简单,几乎精准地忽略了过去几十年间分布式系统进化的问题。
企业在落地MCP时,会发现一个又一个的大坑! 今天给家人们详细分析一下,并提供一份自己总结的自查checklist ~
坑1:类型安全?全靠猜!
MCP使用了Schemaless JSON,类型全靠运行时猜。
这会导致,一个AI工具想要ISO-8601格式的时间戳,结果另一个工具传了个Unix epoch秒数。系统不会报错,模型只会一脸懵逼地胡说八道。在金融交易里,这可能是小数点错位;在医疗诊断中,可能是药品剂量搞错。这种静默的失败最为致命。
1982年,UNIX RPC的创造者就明白,想让两台不同机器不出岔子地对话,就必须有严格的规则。他们的XDR(外部数据表示)和IDL(接口定义语言)就是在编译时就把类型不匹配的错误给干掉了。
坑2:标准协议,名存实亡
1991年的CORBA有一个核心观点:你不能指望每个程序员用自己的语言“实现协议”时能做到100%一致。所以它用IDL来保证C++抛出的异常,Java客户端能稳稳接住。
MCP呢? 则完全忽略了这点。Python、JavaScript、Go的MCP实现各自为活,互不相干。
所以,实际你会发现,Python的JSON编码器和JavaScript的能一样吗?浮点数精度、Unicode处理、错误传递机制……处处是坑。
最终,所谓的标准协议变成了N个方言,联调时各种抓瞎~
坑3:调试30分钟 vs 排查3天
快进到2016年,gRPC告诉我们,在微服务时代,可观测性不是附加功能,而是核心能力。内置的分布式追踪,能让你清晰地看到一个请求经过了哪些服务,在哪一步耗时最长,在哪一步出了错。
到了MCP这里,啥也没有。没有内置的Trace ID,没有标准的日志格式,没有上下文传播。
Debug的时候,只能看到,一个用户查询,AI Agent调用了5个服务、20个工具后返回了错误答案。
用gRPC,顺着Trace ID大概30分钟就能定位到问题。用MCP,只能在5个服务的JSON日志里人肉grep,试图拼凑出完整的调用链。
受过这个苦的,应该能感同身受,感觉就像大海捞针,3天能搞定都算运气好。
坑4:先裸奔,再打补丁
MCP最近的更新(2025-03-26版)加上了OAuth 2.1支持。这本身是好事,但恰恰暴露了最大的问题:如此关键的安全特性,竟然不是一开始就有的,而是被逼着打补丁加上去的。
早期用MCP的开发者,已经在没有标准认证的裸奔状态下构建了系统。
更可怕的是,它的stdio传输方式至今还依赖环境变量传密钥,这是上世纪70年代的玩法,完全无法满足现代企业细粒度的权限管控需求。
坑5:说好的协议,做成了生态灾难
当你指出MCP的任何一个缺陷时,官方或社区最常见的回答是:“你可以用mcp-oauth-wrapper来搞定认证!”、“你可以试试mcp-tracing-extension来做追踪!”
当一个协议的核心能力需要靠一堆质量参差不齐、维护全看缘分的三方库来拼凑时,它就不是一个合格的协议,而是一个技术债的温床。
所以,当你在做技术方案的时候,市面上有5个MCP认证库,我们该用哪个?它们互相兼容吗?两年后还会有人维护吗?安全漏洞谁来修?
坑6:钱花出去了,但不知道花在哪
当阿里云的账单发过来的时候,告诉你上个月花了5个W,你能分清是哪个业务部门的哪个AI工具,在哪一天、为了哪个用户的哪次调用产生的吗?
MCP完全没有提供这种能力。 没有协议级的Token计数,没有成本标签,没有配额管理。
这导致在AI上的开销就是一笔糊涂账,完全无法进行成本优化。这好比开了一家连锁店,但所有分店的收入和支出都混在一个账户里,你永远不知道哪家在赚钱,哪家在亏钱。
坑7:脆弱的版本管理
MCP有协议层面的版本协商,但完全没有工具接口(Schema)层面的版本管理。
任何一个工具的开发者,只要稍微改动一下接口的输入输出,就可能让所有依赖它的客户端瞬间瘫痪。你要么选择永远不升级工具,要么就得协调整个公司的所有相关团队,来一次史诗级的同步上线。
坑8:为演示而生,而非为生产
对小打小闹的Demo来说,性能无所谓。但对于需要处理高并发、低延迟的生产应用,MCP的架构就是个瓶颈。
纯文本的JSON协议、缺乏连接池、每次交互都新建一个进程的stdio模式……这些在90年代就被抛弃的做法,会在你的AI应用流量上来后,立刻成为压垮系统的最后一根稻草。
坑9:审计和验证两手一摊
2000年的SOAP虽然繁琐,但它带来了WSDL(Web服务描述语言)。这东西就像一份机器可读的合同,能自动生成客户端、验证接口、检查兼容性。
而 MCP 除了一个基础的JSON Schema(还不是强制的),什么都没有。
你无法向审计证明你的AI交互严格遵守了合同。接口改了,客户端只能在生产环境里崩溃给你看。你想自动生成一个类型安全的客户端?对不起,做不到。
那么,我们到底该怎么办?
MCP的势头已起,完全不用不现实。
但直接裸奔上线,无异于自杀。所以,必须自己动手,补上这些关键的漏懂。
这里有一份我们总结的企业级MCP落地自查清单,建议在你的项目启动前逐项核对:
- [ ] Schema:我们是否建立了强制的、带版本号的Schema规范?是否能基于Schema自动生成类型安全的客户端SDK?
- [ ] 可观测性:我们是否实现了统一的日志格式?是否在协议层面注入了全链路Trace ID,并能跨服务传播?
- [ ] 错误处理:我们是否定义了标准的、可区分重试与否的错误码分类?
- [ ] 安全与审计:我们如何管理
stdio模式下的凭证?我们的认证授权机制是否能做到工具级别、甚至函数级别的细粒度管控?所有操作是否有不可抵赖的审计日志? - [ ] 成本归因:我们用什么机制来标记和追踪每一次调用的Token消耗?如何将成本归因到具体的用户或业务线?
- [ ] 版本与部署:我们如何管理工具接口的版本?当接口发生不兼容变更时,我们的灰度发布和回滚策略是什么?
- [ ] 依赖治理:我们是否对所有依赖的第三方MCP相关库进行了安全审计和维护状态评估?
最后
MCP的火热,恰恰说明AI Agent正在从玩具走向工厂。但越是这个时候,我们越不能忘记那些过去被反复验证过的基本功。
简单不应是简陋的借口,易用更不能以牺牲生产环境的稳定性、安全性和可维护性为代价。
