MCP 让模型连接工具的门槛大幅下降。问题也跟着变简单了:过去是“工具太难接”,现在变成“工具接得太快”。
如果一上来就把工具、模型和用户请求全部连通,风险会被迅速放大。更稳的做法,是让 MCP 工具上线前先过三道网关门。
第一门:权限门
最先要问的不是工具能不能调,而是谁能调、能调什么。
权限门至少要区分:
- 只读工具和可写工具
- 生产系统和测试系统
- 内部人员和外部协作方
- 高风险操作和低风险操作
比如查询知识库和修改工单不是一类权限,生成摘要和删除记录更不是一类权限。AI 中转网关要做的,是把工具授权和模型调用身份绑定在一起。
第二门:参数门
MCP 的危险不止在“能调哪个工具”,也在“传了什么参数”。
很多事故不是工具本身出问题,而是参数越界:
- 传入过大的查询范围
- 传入未脱敏的用户信息
- 传入错误的环境标记
- 传入本不该公开的资源 ID
所以中转网关要做参数校验、字段白名单和敏感字段过滤。模型调用再聪明,也不能绕过这个门。
第三门:审计门
上线后的工具调用,必须能回放。
审计门至少要保留:
- 谁发起的请求
- 用了哪个模型
- 调了哪个工具
- 传了哪些关键参数
- 返回了什么结果
- 是否发生重试或回退
没有审计,后面出了问题只能猜。MCP 连接越多,越需要一张完整链路图。
为什么网关比应用代码更适合做这件事
如果每个 Agent 或每个应用自己写权限和审计逻辑,规则会很快分叉:有人查得严,有人放得松;有人脱敏,有人全量;有人记日志,有人只看报错。
统一的 AI 中转网关能把这些规则集中管理,让工具接入走同一套标准。
像 https://top-api.cc 这样的统一入口,最适合放在这里做收口,而不是让每个业务团队重复造一遍“半套安全”。
结语
MCP 工具接入生产,不是把接口通了就结束。至少要过权限、参数、审计三道门,团队才算真的把工具能力纳入治理范围。
Leave a Reply