MCP-first 并非围绕某个新协议的炒作,而是一次架构转变。 现代软件不再首先被设计为 Web 应用,而是作为 完全可控、机器可读、安全的能力系统。 Web 应用、移动应用、CLI 和管理界面随后只是 构建在同一核心之上的二级接口。
一个界面只是一个表面。软件真正的价值在于它的能力。
1 · 能力优于界面
一个功能不是一个页面,而是一种能力。先描述能力, 就能在任何地方提供它——在 UI 中、在智能体中、在 Worker 中。
2 · 工具优于按钮
按钮只是工具的人机呈现形式。真正的工具——类型化、 权限验证、可审计——才是核心所在。
3 · 资源优于表格
表格只是资源的视觉呈现。智能体需要的是带上下文的 资源,而非渲染出来的表格。
4 · 工作流优于导航
智能体不需要导航。它们需要清晰的 Workflow, 引导完成复杂流程。
5 · 策略优于信任
6 · 确认优于盲目自动化
高风险操作需要人工确认。MCP-first 意味着完全可控—— 而非全自动。
7 · 审计优于不透明
每个智能体操作都必须可追溯:谁、做了什么、何时、经过何种审批。
8 · 上下文优于原始数据
智能体需要经过处理的相关上下文——而非完整的数据库。 数据脱敏与上下文过滤是必须项。
9 · 人机界面作为客户端
Web 应用和移动应用是客户端,不是核心。它们调用的 是与智能体相同的 Actions。
10 · 100% 可控,而非 100% 自主
一切都必须可控。并非一切都可以自主发生。
如果你的软件能做到,MCP 就必须能够描述它。 如果智能体可以调用它,Policy 就必须能够控制它。
示例技能
这些原则并非自我目的,它们在智能体亲自操作 MCP 服务器—— 创建、控制和审计它——时表现得最为清晰。这类技能是封装好的 Workflow, 遵循着它们所执行的相同规则:每个高风险步骤都有风险等级标注, 关键步骤需要审批,每个操作都会被审计。
mcp.scaffold_server 以能力优先方式引导搭建 MCP 服务器:先定义领域 Actions、类型化 Schema、Policy 引擎、风险元数据和审计——然后才创建任何界面。
trigger "为……创建一个 MCP 服务器" 创建
Ablauf
- 建模领域 Actions——业务逻辑保留在领域层。 Low
- 生成类型化的输入、输出和错误 Schema。 Low
- 为每个工具分配风险等级和确认策略。 Medium
- 生成服务器适配器:发现、Policy 检查、审计。 High
- 关键工具仅在明确审批后注册。 Critical ⏸ Freigabe
mcp.audit_trail 只读审查:读取审计轨迹和风险覆盖情况,逐项检查清单并报告差距。不做任何修改。
trigger "对照 MCP-first 审查 MCP 服务器" 审计
Ablauf
- 读取能力清单和风险等级。 Low
- 检查审计事件的完整性和数据脱敏情况。 Low
- 标记未分类风险的工具。 Low
- 以结构化报告输出结论——不执行任何写操作。 Low
更多示例——添加能力、控制工具可见性、接入客户端、 加固安全——请见示例技能页面。
未来属于那些不仅可操作,而且安全可控的软件。