系统原生的MCP来了，Windows 11 将采用模型上下文协议MCP

什么是 MCP？

MCP (Model Context Protocol) 是一种轻量级的开放协议，主要用于代理（Agents）和应用程序之间发现和调用工具。它采用 JSON-RPC HTTP 的形式，旨在实现本地和远程服务的无缝编排，使开发者能够构建一次并在任何地方集成。MCP 定义了三种角色：

MCP Hosts

希望通过 MCP 访问功能的应用程序或 AI 工具

MCP Clients

发起请求到 MCP 服务器的客户端

MCP Servers

通过 MCP 接口公开特定功能（如文件系统访问、语义搜索等）的轻量级服务

为什么 MCP 的安全性如此重要？

随着 AI 代理日益强大并集成到日常工作流程中，确保工具和代理之间通信安全的需求变得前所未有的重要。MCP 虽然带来了强大的新可能性，但也引入了新的风险。

如果没有强大的控制措施，MCP 服务器可能暴露敏感功能、配置错误导致远程访问，或通过提示注入、工具投毒等多种攻击手段被利用。

由于大型语言模型的输入和训练数据被视为不可信，交叉提示注入等攻击可能导致混乱的代理攻击，最终可能导致敏感数据泄露、恶意软件安装，甚至远程代码执行，这是最高严重级别的攻击。

在安全的代理架构中需要考虑哪些新兴威胁？

根据内部和外部安全研究，需要考虑几个新兴的威胁：

• 交叉提示注入 (XPIA)：嵌入在 UI 元素或文档中的恶意内容可以覆盖代理指令，导致数据泄露或恶意软件安装等非预期行为。
• 身份验证差距：MCP 当前的身份验证标准新且不一致，OAuth 是可选的，且正在出现临时的身份验证方法。
• 凭据泄露：以完整用户权限运行的代理可能暴露敏感令牌或凭据。
• 工具投毒：未经审查或低质量的 MCP 服务器可能暴露危险功能或被用于提升权限。
• 缺乏隔离：没有隔离措施，受损的代理可能会影响整个用户会话或系统。
• 安全审查有限：许多服务器开发速度快，安全审查极少，增加了漏洞风险。
• 注册表和 MCP 供应链风险：未经审查的公共 MCP 服务器注册表可能成为恶意软件或滥用的载体。
• 命令注入：MCP 服务器中输入验证不当可能导致任意命令执行。

Windows 11 如何在其 MCP 安全架构中提供基础安全能力？

Windows 11 的 MCP 安全架构基于以下原则提供基础安全能力：

为所有 MCP 服务器开发者提供一套必须满足的基线安全要求，以确保用户安全。这包括确保每个服务器符合安全要求，具有唯一的身份，代码已签名以实现来源验证和在必要时撤销。

在所有代表用户执行的敏感操作中，用户拥有控制权。这包括透明地呈现代理的操作范围和操作，以及敏感操作（如修改操作系统状态、数据和凭据访问）的透明和可审计。

必须强制执行最小权限原则，以限制对 MCP 服务器的任何可能攻击的影响。这通过强制执行声明式能力和隔离（适用时）来实现，以限制攻击的影响范围。

Windows 11 将提供哪些具体的 MCP 安全控制措施？

Windows 11 将提供以下安全控制措施来实现其安全承诺：

• 代理中介通信：所有 MCP 客户端-服务器交互都通过一个受信任的 Windows 代理进行路由，从而实现策略和同意的集中强制执行。这也有助于解决 MCP 协议在身份验证和授权方面的挑战，并提供集中点来观察和响应潜在攻击。
• 工具级别授权：用户必须明确批准每个客户端-工具对，并支持按资源粒度进行授权，从而确保用户在控制之下。
• 中央服务器注册表：只有符合基线安全标准的 MCP 服务器才会出现在 Windows 注册表中，确保可发现性而不损害信任。
• 运行时隔离：通过隔离和细粒度权限等机制，MCP 服务器将要求实施最小权限原则，从而限制任何潜在攻击对特定 MCP 服务器的“爆炸半径”。

MCP 服务器需要满足哪些基线安全要求才能出现在 Windows 11 的注册表中？

MCP 服务器需要满足一系列基线安全要求才能出现在 Windows 11 的 MCP 服务器注册表中，这些要求包括：

1. 强制代码签名，以确定来源并启用撤销。
2. 服务器的工具定义不能在运行时更改。
3. 对公开接口进行安全测试。
4. 强制包身份。
5. 服务器必须声明它们所需的权限。 这些要求旨在防止工具投毒等类别的攻击，同时创建一个开放和多样化的 MCP 服务器生态系统。

Windows 11 何时以及如何提供 MCP 服务器能力的开发者预览？

微软将在 Microsoft Build 大会后向开发者提供 MCP 服务器能力的早期私有预览版，以获取反馈。这个私有预览版可能包含在私有预览期间未处于强制模式的安全功能，这些功能将在广泛可用之前启用。

微软将向开发者提供此私有预览版，并要求设备处于开发者模式，以确保只有拥有授权的开发者才能使用它。默认安全强制措施将作为整体发布的一部分提供给客户。

未来在 MCP 和代理能力方面还有哪些安全工作正在进行或计划中？

安全是一个持续的承诺，随着 MCP 和其他代理能力的扩展，微软将继续发展其防御措施。未来的路线图包括提示隔离、双 LLM 验证、运行时策略强制执行和防火墙插件等，旨在领先于威胁曲线。

微软还与 Anthropic 和 MCP 指导委员会等生态系统中的其他参与者合作，帮助 MCP 在持续的代理创新中满足不断增长的安全需求。

微软相信信任是创新的基础，通过将安全构建到代理平台的核心，Windows 上的 AI 未来不仅强大，而且安全。