spec v0.1
ZH

术语

术语表

MCP-first 架构模式的核心概念——为开发者、架构师和产品负责人精确定义。

本术语表按照在架构、安全模型和 Capability 设计中使用的方式, 解释 MCP-first 方法的核心概念。

基础概念

  • MCP — Model Context Protocol(模型上下文协议);一种开放协议, 使 AI 智能体能够以结构化且经过权限验证的方式调用系统的类型化能力 (Tool、Resource、Workflow)。

  • MCP-first — 一种架构原则,优先将软件描述为完全可控的、 机器可读的 Capability 系统;Web 应用、移动应用和管理 UI 随后作为该 Capability Layer 的次级 Client 产生。

  • Capability — 系统中一项经过结构化描述、类型化、权限验证 和可审计的业务能力;是产品的真正核心,独立于任何具体界面。

  • Action / Action Layer — 单个可执行能力(例如 create_projectsend_external_email),作为所有界面之下的第一层; Web 应用、智能体、CLI 和 Worker 调用同一个 Action。

  • Adapter(适配器) — 一个层(例如 MCP 服务器、Web 应用后端、 移动应用 API),接收请求、映射认证上下文、验证 Policy 并将调用 转发给 Action Layer——但不包含业务逻辑。

构建块

  • Tool — MCP 系统中一个可调用的操作,具有类型化的输入 Schema、 输出 Schema、风险等级和 Confirmation Policy; 从智能体视角来看对应一个 Capability(示例:contacts.create)。

  • Resource — 智能体可以检索的可读数据点或上下文 (示例:projects.listcontacts.get); 提供经过处理的上下文,而非原始数据库查询。

  • Workflow / Prompt — 一个预构建的多步骤流程,引导智能体 完成复杂任务;在 MCP 上下文中通常建模为协调 Resource 和 Tool 的 Prompt 模板。

  • Policy — 机器可读的规则,规定谁可以在什么条件下调用哪个 Tool、 需要何种确认,以及是否允许自主执行。

  • Audit Event(审计事件) — 每个执行的 MCP 操作的结构化、 不可变日志条目;包含身份、风险等级、Confirmation ID 和时间戳, 以实现完整的可追溯性。

  • Risk Metadata(风险元数据) — 对 Tool 或 Resource 的机器可读标注, 包含风险等级(low / medium / high / critical / restricted) 和其他元数据,如可撤销性和外部副作用。

  • Human Confirmation Gate(人工确认门) — 一种机制,要求智能体 在执行高风险 Tool 之前明确获得用户同意;在确认前阻止自主执行。

身份与访问

  • Human User(人类用户) — 系统中真实的已登录用户 (例如管理员、员工、项目经理);权限验证和委托链的起点。

  • MCP Client — 连接到 MCP 服务器并代表用户或智能体发出请求的应用 (例如 Claude Desktop、内部 AI 应用或 Worker 进程)。

  • Agent Identity(智能体身份) — 智能体或自动化 Workflow 的具体身份 (例如 sales-assistantpayroll-agent); 与用户身份分开管理,具有独立的 Scope 和限制。

  • Delegated User Context(委托用户上下文) — 智能体不以全局系统权限运行, 而是仅在特定用户或配置的服务角色的权限和上下文范围内运行的机制。

  • Service Identity(服务身份) — 无人类委托方的后端到后端进程的身份 (例如导入 Worker、定时任务、同步 Worker); 通过 mTLS 或签名服务 Token 进行认证。

  • Scope — 精细的权限单元,精确描述哪个操作在哪个 Resource 上被允许 (示例:contacts:reademails:sendbilling:write); Tool 和 Resource 在执行前验证 Scope。

  • Tenant(租户) — 多租户系统中的租户; 每次数据访问都绑定到租户(tenant:abc), 确保智能体永远无法跨租户操作,即使其其他 Scope 在技术上允许也不例外。

  • Role(角色) — 分配给用户或 Agent Identity 的 Scope 集合 (示例:adminmanagerviewer); 构成租户和 Tool 特定 Scope 验证之前的第一个授权层级。

安全与控制

  • Risk Level(风险等级) — 将 Tool 分类为 lowmediumhighcriticalrestricted;决定是否允许自主执行、 是否需要确认,以及是否需要 Step-up Authentication。

  • Schutzklasse(保护等级) — 按数据敏感度对每个 Resource 和 Tool 的分类: Public(可自由读取)、Internal(仅限已登录用户)、 Confidential(需要明确角色)、Sensitive(限制上下文传递)、 Critical(AI 不得自主行动)、Forbidden for AI(AI 智能体既不可读也不可调用)。

  • Confirmation Policy(确认 Policy) — 每个 Tool 的规则, 规定执行前需要何种同意:no_confirmation_requiredconfirmation_requiredstep_up_auth_requiredadmin_approval_requiredfour_eyes_requirednot_allowed_for_ai

  • Step-up Authentication(步进式认证) — 对特别敏感操作的额外身份验证要求 (例如密码确认、TOTP、Passkey),超出当前会话范围; 在 critical Tool 或特权管理操作时触发。

  • Consent Ledger(同意账本) — 所有已授权智能体操作用户批准的持久记录; 存储谁、何时、为哪个 Tool、在什么范围内以及通过何种方式同意—— 审计和问责的基础。

  • Human-in-the-loop(人在回路) — 一项原则,要求智能体在敏感或高风险操作时 在行动前主动征求用户决定;MCP-first 意味着完全可控,而非全自动。

  • Redaction / Context Filtering(脱敏 / 上下文过滤) — 在数据进入 AI 上下文前 进行有针对性的清理或摘要处理;防止智能体不必要地看到敏感字段 (例如 bankAccountprivateNotes),即使用户原则上有访问权限。

  • Dry Run(预演) — Tool 的一种执行模式,验证所有输入并预测副作用, 但不实际执行操作(示例:emails.bulk_send(dryRun: true)); 在高风险操作前支持预检查。

  • Idempotenz(幂等性) — Tool 的一种属性,使用相同参数多次调用 不会产生不必要的重复;对于可能意外多次触发某操作的重试逻辑 和智能体 Workflow 至关重要。

  • Tool Discovery / Tool 可见性 — MCP Client 查询服务器可用 Tool 的过程; 在 MCP-first 系统中,Tool 在 Discovery 阶段就按用户、Client、 租户、角色和 Scope 进行过滤——而非在调用时才被拒绝。