Docker 推出了自己的 MCP（模型上下文協議）目錄和用於管理 MCP 工具的 MCP Toolkit。

MCP Catalog 是 Docker Hub 的一部分，該公司聲稱其有 100 多臺初始伺服器，可以訪問來自 Elastic、Salesforce Heroku、New Relic、Stripe、Pulumi、Grafana Labs、Kong 和 Neo4j 等供應商的第三方工具。未來，他們計劃讓企業釋出自定義的 MCP 伺服器，而 Docker 承諾將提供 “全面的企業控制”。

MCP 的目的是為 AI 代理提供一個標準化的 API，用於控制這些伺服器提供的服務，從而擴充套件 AI 代表使用者執行任務的能力。如果您正在尋找一份友好的入門指南，可以看一下我們為您準備的 MCP 實踐指南。

MCP 由 Anthropic 公司於 2024 年 11 月推出，是 “一個連線 AI 助手與資料所在系統的新標準”。該協議被包括 OpenAI、微軟和谷歌在內的許多公司迅速採用；供應商們爭先恐後地提供 MCP 伺服器，誰都不希望錯過代理 AI 工作流。這不僅僅是一個數據檢索的問題：AI 代理還可以透過 MPC 伺服器提供的功能執行任務，而隨著功能的增加，風險也隨之增加。

安全機構 Wiz 推出了自己的 MCP 伺服器，用於檢測程式碼漏洞和其他主動威脅。他們提到的 MCP 安全問題包括：

Wiz 認為，為了實現 “流暢的開發體驗”，讓一些 AI 代理自動執行工具，這存在風險，因為這暗含對工具響應的絕對信任。

一些客戶端，包括 Anthropic 的 Claude ，有防止惡意提示的防護措施，但其他客戶端可能沒有，Wiz 認為， “這些防護措施不一致，也不全面”。

安全機構 Trail of Bits 釋出了一系列有關 MCP 漏洞的文章，其中第一篇描述了一種名為工具投毒或插隊（line jumping）的攻擊。當 MCP 客戶端連線到伺服器時，它會透過 tools/list 方法請求伺服器所提供工具的詳細資訊。據 Trail of Bits 觀察，惡意 MCP 伺服器可以利用這些描述來操縱 AI 代理，比如在任意命令前加入惡意字首，並且不告訴使用者。Trail of Bits 指出，被入侵的 MCP 伺服器可能會外洩程式碼、製造漏洞或抑制安全警報。

在 Anthropic 最初的 MCP 概念中，始終要有人參與其中，在執行命令之前驗證命令的合法性和正確性。但在 AI 領域，這是有問題的，尤其是在 AI 承諾幫助使用者執行他們認為困難的操作時。

這些報告似乎在說，MCP 伺服器和客戶端正處於 “狂野西部”階段，其採用率在不斷增長，但安全影響和邊界尚不明確。目前，Anthropic 為開發人員提供了這份 MCP 伺服器列表，其中包括 “未經測試、使用風險自負”的社群伺服器。

在這種情況下，經過 Docker 驗證的可信任的 MCP 伺服器註冊中心可能會很受歡迎，不過它不太可能成為企業唯一使用的註冊中心，Anthropic 已將官方 MCP 註冊中心加入自己的路線圖。Docker 提供了註冊中心訪問管理（Registry Access Management）和映象訪問管理（Image Access Management）等功能，前者可以控制哪些註冊中心可透過 Docker Desktop 訪問（不過也有使用命令列繞過它的方法），後者可以限制允許開發人員拉取的容器映象。