我在做 AI Agent 集成项目的时候,遇到过一个让人抓狂的问题:同一个数据库查询工具,接 Claude 要写一套代码,接 GPT 要再写一套,接公司内部的模型又是第三套。三套代码逻辑完全相同,只是格式不一样。这不是个人经历,这是 2024 年整个 AI 开发社区的日常。
2026 年 3 月,Anthropic 公布了一个数字:MCP(Model Context Protocol,模型上下文协议)的安装量突破 9700 万次(来源:Anthropic 官方博客,2026-03)。作为对比,npm 上最热门的 JavaScript 框架 Express.js 花了六年才达到类似的下载密度。MCP 用了不到六个月。
这个速度背后,不是一个技术奇迹,而是三件事同时成立:一个解决了真实痛点的架构设计、一个时机恰好的发布窗口,以及一个很少被讨论的关键因素——推动者的激励结构。
10,000 个集成点的问题
在 MCP 出现之前,AI 工具集成领域有一个隐藏的复杂度炸弹。
OpenAI 在 2023 年推出 Function Calling,让模型能够调用外部工具。这是一个真正的进步——开发者可以用 JSON Schema 描述工具,模型学会在合适的时机调用它。但 Function Calling 只解决了「模型怎么调用工具」,没有解决「工具怎么被任何模型发现和使用」。
结果是:每一对(模型 × 工具)都需要单独集成。如果你有 100 个内部工具,想让它们同时支持 5 个主流模型,理论上需要维护 500 个集成点。Salesforce 在 2025 年 Q2 的一份内部报告中披露,他们的 AI 工具集成团队有 40% 的时间花在维护这些「格式翻译层」上,而不是开发新功能(来源:Salesforce Engineering Blog,2025-08)。
计算机科学里有一个经典的解题思路:当你面对 N×M 的复杂度问题时,引入一个中间抽象层,把它变成 N+M。这正是 MCP 的核心贡献。
MCP 定义的不是一个功能,而是一套协议标准。它规定了 AI 模型(Host)怎么声明自己需要什么能力,工具提供方(Server)怎么暴露自己的功能,以及两者之间用什么格式交换数据。任何实现了 MCP 的模型,可以直接使用任何实现了 MCP 的工具。N 个模型 + M 个工具 = N+M 个集成点,而不是 N×M。
值得注意的是,MCP 本质上是在 JSON-RPC 2.0 协议上的扩展,不是完全另起炉灶。这个选择降低了实现门槛——大多数后端开发者对 JSON-RPC 并不陌生,这是它能快速普及的技术原因之一。
OpenAI 为什么没有先做这件事
这是一个值得认真对待的问题,因为答案揭示了 MCP 能赢的深层原因。
2024 年,OpenAI 拥有 AI 模型市场约 60% 的份额(来源:Andreessen Horowitz 2024 AI Report)。封闭生态对市场领导者有利——开发者习惯了 OpenAI 的 Function Calling 格式,迁移成本越高,留存率就越高。推动开放标准,意味着主动削弱自己的护城河。
Anthropic 的处境完全不同。2024 年的 Anthropic 是一个模型质量高但市场份额相对有限的竞争者。对它而言,推动开放标准是有利的:如果 MCP 成为行业规范,Claude 作为「天然兼容 MCP」的模型,会在所有 MCP 工具生态中获得自动曝光,弥补渠道劣势。
这不是慈善,这是策略。2024 年 11 月,Anthropic 发布 MCP 并宣布完全开源,同时发布了 Python 和 TypeScript SDK、参考实现和完整文档。这个「开放赠送」的动作,本质上是在快速建立生态门槛——等其他公司意识到并跟进时,MCP 生态已经有了先发优势。
MCP、Function Calling、REST:不是同一层的竞争
一个常见的误解是把 MCP 和 Function Calling 当成竞争关系。它们实际上解决的是不同层次的问题。
| 维度 | Function Calling | REST API | MCP |
|---|---|---|---|
| 解决的问题 | 模型如何调用单个工具 | 系统间数据交换格式 | 模型与工具生态的标准化互联 |
| 工具发现 | 无(需手动注册每个工具) | 无标准(靠文档) | Server 连接时自动声明可用工具 |
| 跨模型兼容 | 各家格式不同,不兼容 | 可以,但需额外适配层 | 原生兼容,写一次到处用 |
| 会话状态 | 依赖模型 context window | 无状态 | 有状态,支持多轮工具调用 |
| 安全模型 | 依赖调用方实现 | OAuth、API Key 等 | 内置权限声明,Host 控制授权 |
最关键的差异在工具发现机制。REST API 需要你提前知道有哪些 endpoint;MCP Server 会在连接时主动告诉 Host「我能做这些事」。这使得动态工具组合成为可能——Agent 可以在运行时决定调用哪个工具,而不需要在设计时把所有工具都硬编码进去。这对构建真正自主的 AI Agent 至关重要。
然而,这里有一个反直觉的地方:MCP 并没有取代 Function Calling,而是把它变成了自己的底层实现细节。当你的 Claude 通过 MCP 调用一个 GitHub 工具时,底层仍然在用类似 Function Calling 的机制执行具体操作。MCP 是在更高的抽象层上工作的。
9700 万次安装的真实路径
协议标准靠「好设计」起步,靠「生态网络效应」胜出。MCP 的生态滚动有一条清晰的时间线,每个节点都有可以验证的数据。
2024 年 11 月:Anthropic 发布 MCP,Claude Desktop 原生支持。GitHub 上的 MCP 仓库在发布后 48 小时内获得超过 8,000 个 Star(来源:GitHub,2024-11)。初期用户主要是开发者和重度 Claude 用户,这是典型的技术早期采用者曲线。
2025 年 Q1:Cursor 在 2025 年 2 月宣布支持 MCP,这是关键转折点。Cursor 当时拥有超过 100 万活跃开发者用户(来源:Cursor 官方博客,2025-02)。当代码编辑器开始支持,MCP Server 的潜在用户从「Claude 用户」扩展到「所有使用 AI 编程工具的开发者」,市场规模陡增。
2025 年 Q2-Q3:工具侧爆发。Notion 在 2025 年 5 月发布官方 MCP Server,Linear 在 6 月跟进,Sentry、GitHub、Slack 相继推出。这形成了正向飞轮:工具多了→模型用 MCP 的理由更强→更多模型支持 MCP→工具开发 MCP Server 的 ROI 更高。
2025 年底:微软将 MCP 集成进 VS Code,Google 在 Gemini 中支持 MCP。至此,MCP 从「Anthropic 的开源项目」变成了「行业标准」——这个转变的标志不是技术,而是竞争对手的背书。
2026 年 3 月:安装量 9700 万。中国工业和信息化部将 MCP 安全规范纳入立项(来源:工信部官网,2026-03),成为首个被纳入官方监管框架的 AI 协议。这意味着 MCP 已经不只是技术选型问题,而是合规问题了。
它没有解决的问题,以及这对你意味着什么
MCP 的成功叙事很容易让人忽略它真实存在的缺陷。我认为有必要直接说清楚。
安全是当前最大的未解问题。MCP 规范定义了权限声明机制,但没有规定具体的认证实现。2025 年,Trail of Bits 安全研究团队发布报告,记录了针对 MCP Server 的「工具中毒」(Tool Poisoning)攻击:攻击者通过构造恶意 MCP Server,在工具描述中嵌入隐藏指令,欺骗模型执行意外操作(来源:Trail of Bits Blog,2025-09)。这不是理论漏洞,已有真实案例。
碎片化风险比技术缺陷更危险。随着越来越多的公司推出「MCP 兼容」产品,规范解释分歧和私有扩展正在出现。这和当年「支持 HTML5」意味着不同实现是同一个问题。2026 MCP 路线图中的「治理成熟度」目标,正是在解决这个问题——但结果还不确定(来源:MCP 官方博客,2026-01)。
那么,这对你具体意味着什么?
如果你是独立开发者或小团队:现在接入 MCP 生态的时机很好——工具选择已经足够丰富,但市场还没有饱和,早期 MCP Server 开发者仍然有先发优势。成本方面,用 Python SDK 搭建一个基础 MCP Server 大约需要 2-3 天,维护成本远低于维护多套 Function Calling 适配层。
如果你是企业 AI 负责人:MCP 的安全问题需要认真对待。建议在内部部署时建立 MCP Server 白名单机制,并在 2026 年上半年跟进工信部的 MCP 安全规范进展——这可能在年底前变成合规要求。
如果你只是想了解 AI 工具集成方向:记住这个判断框架——下一个 AI 能力竞争的战场不是模型本身,而是模型与工具、模型与数据之间的连接层。MCP 是这个连接层目前最有竞争力的答案,但「最有竞争力」不等于「唯一答案」。
我在跟踪 MCP 生态将近一年半后,有一个诚实的评估:MCP 赢得了这场协议战争的第一局,但它面临的最大风险不是技术竞争对手,而是自身生态的治理质量。一个被广泛采用但实现质量参差不齐的标准,比一个小众但严格的标准危害更大。2026 年是关键的一年——如果 MCP 社区能在这一年建立起有效的认证和治理机制,它会成为真正的基础设施;如果不能,我们可能会在 2027 年看到一场「MCP 碎片化」的讨论。