MCP 现已成为企业基础设施：2026 年 MCP 开发者峰会北美站全记录

作者: Agentic AI Foundation
原文链接: https://aaif.io/blog/mcp-is-now-enterprise-infrastructure-everything-that-happened-at-mcp-dev-summit-north-america-2026/

纽约市 · 代理式AI基金会（Agentic AI Foundation）与Linux基金会（Linux Foundation）

来自MCP开发者峰会北美站（MCP Dev Summit North America）的最大创意与最深刻洞见：塑造代理式AI（Agentic AI）未来的建设者、贡献者和组织齐聚纽约市。

今年有1200人参加了MCP开发者峰会（是上一届的两倍），显然MCP将继续增长。围绕MCP的问题也变得更加具有挑战性：如何在10,000个服务的规模下运行它？如何保护它免受供应链攻击？如何让它为那些不容有失的企业做好生产就绪（production-ready）准备？

以下是本次峰会最重要的内容。

数字一览

开幕致辞：智能体的 Linux —— Linux 基金会 CEO Jim Zemlin

Jim Zemlin 以 MCP 在 Linux 基金会所熟悉的谱系中的位置开启了这一天。“Linux 基金会是 Linux 的家园。它是云原生计算基金会和 Kubernetes 的家园，而 Kubernetes 是云的 Linux。现在，它也是 Agentic AI 基金会和 MCP 的家园，而 MCP 是智能体的 Linux。我们将继续前行。”

在将舞台交给下一位演讲者之前，Zemlin 宣布了一项领导层变动：他将辞去 AAIF 临时执行董事的职务。接替他的是 Mazin Gilbert，一位博士，其博士论文主题是神经网络，拥有沃顿商学院的 MBA 学位，并且刚刚在 Google 花了五年时间构建 AI 解决方案。随着智能体 AI 从研究走向企业部署，AAIF 需要同时精通这两种语言，而 Gilbert 恰好满足这一要求。

AAIF 现状：四个月，快速推进 —— AWS 的 David Nalley

AAIF 理事会主席 David Nalley 走上舞台时，他不得不当天早上更新幻灯片，因为会员数量在过去 48 小时内再次发生了变化！现在已有 170 个组织，在不到四个月的时间里达到这一数字，这比 CNCF 在同期拥有的会员数量多出一倍以上。

最重要的里程碑是治理。技术指导委员会现已批准了正式的项目生命周期政策：三个阶段（成长、影响和荣誉），首次为外部项目加入基金会打开了大门。自去年 12 月以来，Nalley 的收件箱里就塞满了团队询问如何将他们的项目引入的邮件。现在有了一个文档化的答案。当前的旗舰项目：MCP、Goose 和 AGENTS.md 已经加入。无论接下来是什么，大门都是敞开的。

“开源在人们参与时才能发挥作用。来和我们一起参与吧。”—— David Nalley，AAIF 理事会主席

MCP 的过去与未来 —— Anthropic 的 David Soria Parra

MCP 的联合创建者 David Soria Parra 发表了第一天的主题演讲。他首先抛出了一个令人震惊的数字：每月 SDK 下载量超过 1.1 亿次。OpenAI 的智能体 SDK 将 MCP 作为依赖项引入。LangChain 也是如此。

他认为，原因并非 MCP 有多么出色，而是因为替代方案不可行。在 MCP 出现之前，将工具连接到 AI 系统意味着要为 N 个专有 API 重复构建相同的集成 M 次。人们采用它不是因为炒作，而是因为一遍又一遍地编写相同集成的做法令人痛苦。

生态系统增长中最让他惊讶的不是企业部署，而是创造力。有人将 MCP 服务器连接到 3D 打印机。有人构建了一个 Fantasy Premier League MCP 服务器。他喜欢这一切。但很少被提及的部分是他认为最重要的：在企业防火墙背后，团队每天都在将 MCP 连接到 Salesforce、Jira、内部维基和 Snowflake。这些是内部服务器，将 AI 连接到实际完成工作的系统。即使在 Anthropic，最常用的内部 MCP 服务器也是连接到知识库和 Slack 的那些。不引人注目但至关重要。这才是 MCP 真正发挥作用的地方。

他的观点是，2025 年证明了 MCP 的必要性，而 2026 年则是让它为生产环境做好准备。他直接回应了上下文膨胀的批评。问题不在于协议，而在于客户端天真地将所有工具一次性倾倒入上下文。在 Claude Code 实现工具搜索之前，MCP 工具消耗了 20 万 token 窗口的 22%。之后，基本上为零。“这些都是非常容易解决的问题。而且它们是客户端问题，不是协议问题。”

“在每个企业防火墙背后，我们整天都在悄悄地将 MCP 连接到记录系统和公司数据。你的 Salesforce CRM、你的 Jira 工单、内部维基、Snowflake 数据仓库、HR 系统。你在 Twitter 或 Hacker News 上几乎看不到也听不到这些。”—— David Soria，MCP 联合创建者，Anthropic

企业 MCP 的实际样貌 —— Amazon、Uber 与 Arcade

两天内的三场演讲清晰地描绘了大规模 MCP 实际需要什么，以及当你搞砸时会发生什么。

在亚马逊， James Hood（AWS首席工程师）描述了一家拥有数万名构建者、工具链未经大多数AI模型训练、合规要求足以让多数CTO噩梦连连的公司。解决方案是：不将MCP和技能视为竞争选项，而是将两者作为代理配置的组成部分——团队可以创建、共享和安装的一等公民原语。中央注册中心既是发现工具也是安全工具，根据Hood所称的“致命三重威胁”（私有数据访问、不可信内容暴露和外部通信）对MCP服务器进行分类，并在问题发生前扫描代理配置中的危险组合。

在优步， Meghana Somasundara和Rush Tehrani用数据重新定义了“规模”的含义：5000+工程师、10000+内部服务、1500+月活跃代理、每周60000+次代理执行。“MCP不仅重要，”Somasundara说，“它们正是让AI在优步可用的关键。”他们的解决方案是一个MCP网关和注册中心，通过爬取内部文件并使用LLM生成描述，自动将优步的服务端点转换为MCP工具——服务所有者保持控制权，但繁重工作实现自动化。第三方MCP服务器比内部服务器接受更严格的审查，这是一种有意的双层信任模型。该网关目前支撑着无代码代理构建器、面向客户的产品以及Minions（一个后台编码代理，每周产生1800次代码变更，被优步95%的工程组织使用）。

在Arcade， Alex Salazar（创始人兼CEO）直接点出了其他人一直绕圈子没说透的观点：你不能信任代理来执行自己的策略。推理层可能做对也可能做错。控制平面必须每次都正确。他剖析了两种常见方法为何失败：服务账户会创建授权绕过漏洞，用户凭证无法扩展到单台笔记本电脑之外，并论证了有效模型：代理被允许做的事情与用户被允许做的事情的交集，每次请求都进行检查。这是一个“与门”，而非“或门”。OAuth 2.1。并非新事物。但大多数组织只有身份验证而没有授权执行。这个缺口正是代理失效的地方。

“代理可以随意幻想抢劫银行。没人关心。唯一让人关心的是它真的掏出了枪。”——Alex Salazar，Arcade创始人兼CEO

你的本地MCP服务器并不像你以为的那样安全——Jonathan Leitschuh，安全研究员

这是让听众以最佳方式感到不安的演讲。

Jonathan Leitschuh在演讲中演示了一类在浏览器中存在了十九年、且几乎所有构建MCP服务器的人都未防范的漏洞。攻击方式：DNS重绑定。简而言之，恶意网站可以利用你的浏览器作为代理，对本地机器上运行的任何MCP服务器进行工具调用。在Chrome中，利用该漏洞只需大约三秒钟。

他回顾了同一攻击方式曾影响JetBrains IDE、Zoom、戴尔和趋势科技的历史。然后转向MCP。他的工具（MCPwned）成功对官方MCP Inspector、Google Cloud Run、Google的Database Toolbox、Apollo的GraphQL服务器、Docker的MCP网关以及AWS Labs的MCP服务器进行了任意工具调用。Docker曾发布博客声称其网关受到保护，但事实并非如此。他在台上披露了Google Database Toolbox中的一个零日漏洞：Google已知晓该漏洞超过90天却未修补。

修复方法并不复杂。MCP规范已包含相关警告。TypeScript SDK在他的研究后已打补丁。但大多数开发者不知道这是个问题，许多SDK仍未默认实施修复，且大多数浏览器无法可靠地阻止该攻击。实用建议：检查你的SDK层级，确保启用了来源头验证，不要假设本地就意味着安全。

上下文即新代码——Ryan Cooke，WorkOS

Ryan Cooke的演讲比大多数技术环节更深入人心。他的论点：我们不断谈论工具，但真正决定代理成败的是上下文，而几乎没有人能妥善管理它。

WorkOS 构建了一个上下文引擎（context engine）：一个在智能体（agent）到达大语言模型（LLM）之前就运行的流程。它解析智能体背后真实的用户是谁，理解他们可以访问哪些资源，并注入精确的、与任务相关的信息，指导如何正确使用相关工具。当模型介入时，它已经知道自己需要知道什么。指令采用懒加载（lazy loading）方式，只在智能体即将调用相关工具时加载，因此不会撑大上下文窗口（context window）。任务完成后，这些指令就会被丢弃。一个共享的语义定义层（以 MCP 资源的形式存储）确保 WorkOS 中的所有智能体对同一事物使用相同的词汇。在 WorkOS 中，“销售交易”（sales transaction）是什么意思？只有一个定义，处处通用。

要点总结

在纽约的两天里，从各个方向传来了同一个故事。MCP 最初只是一个将 AI 与工具连接的协议，如今它已成为一种全新软件开发方式的连接组织，而正是出现在这里的社区让这一切如此快速地发生。“它能行吗？”的阶段已经结束。现在的问题是关于生产、安全以及下一步。而从本周的舞台上看，很多人已经有了答案。

参与进来：加入 AAIF Discord 社区，参与工作组，为 MCP、Goose 或 AGENTS.md 做贡献，或根据新项目生命周期政策在 aaif.io 提交一个项目供审议。

MCP 开发者峰会（MCP Dev Summit）正在走向全球——班加罗尔、孟买、首尔、上海、东京、多伦多、内罗毕——此外还有 AgenCon + MCPCon 欧洲站（阿姆斯特丹，9 月 17–18 日）和 北美站（10 月 22–23 日）。