Cloudflare 本周发布了面向生产的 MCP 参考架构,这一框架干净地落在本周关于 MCP 安全的叙事之上。命题是:MCP 是传输与互操作性,不是治理。一个控制面必须坐在它之上。这是一个对上周 OX Security 所披露那一类问题的直接回应——当时 MCP 的 STDIO 传输被曝出 11 个 CVE,而 Anthropic 拒绝修改参考 SDK 的不安全默认值。协议如果不自我治理,就得让别的东西来治理。
这套栈有四个组件。Cloudflare Access 负责身份认证:SSO、MFA、设备态势、位置信号——把企业级零信任原语应用到 MCP 请求上。MCP Server Portals 给用户一个跨其被授权服务器的统一发现与访问界面,取代现今默认的临时本地配置方式。AI Gateway 坐在模型调用层,跨厂商路由请求,并在按用户维度上执行用量上限与 token 监控。Code Mode 是最有意思的那块:它把工具界面坍缩为动态入口点,Cloudflare 声称可把 token 用量降至多 99.9%。这个数字值得独立验证,但主张很具体。
Cloudflare 点名的威胁模型正是 builder 已经感到的那些:prompt 注入、供应链攻击、暴露或配置错误的服务器、任意代码执行、跨 MCP 集成的数据外泄。它们鲜明的立场是:本地部署的 MCP 服务器是「显著的安全责任」。这对 Claude Desktop、Claude Code、Cursor 以及大多数现行客户端集成的默认部署方式(把 MCP 服务器作为本地子进程跑在用户机器上)是一记直击。Cloudflare 的答案是:在它们的开发者平台上做远程部署,由中心化团队管理,提供细粒度的工具暴露,以及 DLP 政策执行。企业是否同意「本地 MCP 不可接受」,还是因为灵活性继续放行,将决定这两种架构里哪一种胜出。
如果你在企业规模下为生产评估 MCP,从这次发布能提炼两个具体动作。其一,假设「把 MCP 服务器跑在本地」对受监管工作负载不是一个长期姿态。OX Security 的 STDIO 发现、Anthropic 拒绝修补参考 SDK、以及 Cloudflare 把本地服务器定性为安全责任——这三件事叠在一起已经给本地 MCP 部署发出了警告。无论你最终选哪家供应商,都该规划迁移到代理化、集中治理的 MCP。其二,Code Mode 的 99.9% token 降幅这一主张值得先拿你自家的工作负载做一次实测,再决定是否照单全收;但即使只是方向正确,token 经济学就成了「治理与灵活性」这个权衡里一个严肃的变量。对于企业级 MCP,成本控制和安全控制现在指向同一个方向。