Docker 推出 MCP Catalog 和工具包，供应商不顾安全问题争相支持

本文最初发布于 DEV CLAS。

Docker 推出了自己的 MCP（模型上下文协议）目录和用于管理 MCP 工具的 MCP Toolkit。

MCP Catalog 是 Docker Hub 的一部分，该公司声称其有 100 多台初始服务器，可以访问来自 Elastic、Salesforce Heroku、New Relic、Stripe、Pulumi、Grafana Labs、Kong 和 Neo4j 等供应商的第三方工具。未来，他们计划让企业发布自定义的 MCP 服务器，而 Docker 承诺将提供 “全面的企业控制”。

MCP 的目的是为 AI 代理提供一个标准化的 API，用于控制这些服务器提供的服务，从而扩展 AI 代表用户执行任务的能力。如果您正在寻找一份友好的入门指南，可以看一下我们为您准备的 MCP 实践指南。

MCP 由 Anthropic 公司于 2024 年 11 月推出，是 “一个连接 AI 助手与数据所在系统的新标准”。该协议被包括 OpenAI、微软和谷歌在内的许多公司迅速采用；供应商们争先恐后地提供 MCP 服务器，谁都不希望错过代理 AI 工作流。这不仅仅是一个数据检索的问题：AI 代理还可以通过 MPC 服务器提供的功能执行任务，而随着功能的增加，风险也随之增加。

安全机构 Wiz 推出了自己的 MCP 服务器，用于检测代码漏洞和其他主动威胁。他们提到的 MCP 安全问题包括：

• 没有 MCP 服务器的官方注册中心，但有建一个的计划

• 恶意行为者试图让开发者安装恶意 MCP 服务器，从而实现域名抢注和假冒行为

• “拉地毯骗局“，即在采用合法的 MCP 服务器后植入恶意代码

• 提示注入，即合法的 MCP 服务器被不受信任的内容操纵，从而触发 “意外或危险的工具执行”

Wiz 认为，为了实现 “流畅的开发体验”，让一些 AI 代理自动运行工具，这存在风险，因为这暗含对工具响应的绝对信任。

一些客户端，包括 Anthropic 的 Claude ，有防止恶意提示的防护措施，但其他客户端可能没有，Wiz 认为， “这些防护措施不一致，也不全面”。

安全机构 Trail of Bits 发布了一系列有关 MCP 漏洞的文章，其中第一篇描述了一种名为工具投毒或插队（line jumping）的攻击。当 MCP 客户端连接到服务器时，它会通过 tools/list 方法请求服务器所提供工具的详细信息。据 Trail of Bits 观察，恶意 MCP 服务器可以利用这些描述来操纵 AI 代理，比如在任意命令前加入恶意前缀，并且不告诉用户。Trail of Bits 指出，被入侵的 MCP 服务器可能会外泄代码、制造漏洞或抑制安全警报。

在 Anthropic 最初的 MCP 概念中，始终要有人参与其中，在运行命令之前验证命令的合法性和正确性。但在 AI 领域，这是有问题的，尤其是在 AI 承诺帮助用户执行他们认为困难的操作时。

这些报告似乎在说，MCP 服务器和客户端正处于 “狂野西部”阶段，其采用率在不断增长，但安全影响和边界尚不明确。目前，Anthropic 为开发人员提供了这份 MCP 服务器列表，其中包括 “未经测试、使用风险自负”的社区服务器。

在这种情况下，经过 Docker 验证的可信任的 MCP 服务器注册中心可能会很受欢迎，不过它不太可能成为企业唯一使用的注册中心，Anthropic 已将官方 MCP 注册中心加入自己的路线图。Docker 提供了注册中心访问管理（Registry Access Management）和镜像访问管理（Image Access Management）等功能，前者可以控制哪些注册中心可通过 Docker Desktop 访问（不过也有使用命令行绕过它的方法），后者可以限制允许开发人员拉取的容器镜像。

原文链接：

https://devclass.com/2025/04/22/docker-introduces-mcp-catalog-and-toolkit-as-vendors-scramble-to-support-the-protocol-despite-security-concerns