Cloudflare 本週發布了面向生產的 MCP 參考架構,這一框架乾淨地落在本週關於 MCP 安全的敘事之上。命題是:MCP 是傳輸與互通性,不是治理。一個控制面必須坐在它之上。這是一個對上週 OX Security 所揭露那一類問題的直接回應——當時 MCP 的 STDIO 傳輸被曝出 11 個 CVE,而 Anthropic 拒絕修改參考 SDK 的不安全預設值。協定如果不自我治理,就得讓別的東西來治理。
這套堆疊有四個元件。Cloudflare Access 負責身份認證:SSO、MFA、裝置態勢、位置訊號——把企業級零信任原語應用到 MCP 請求上。MCP Server Portals 給使用者一個跨其被授權伺服器的統一發現與存取介面,取代現今預設的臨時本地設定方式。AI Gateway 坐在模型呼叫層,跨廠商路由請求,並在按使用者維度上執行用量上限與 token 監控。Code Mode 是最有意思的那塊:它把工具介面坍縮為動態進入點,Cloudflare 聲稱可把 token 用量降至多 99.9%。這個數字值得獨立驗證,但主張很具體。
Cloudflare 點名的威脅模型正是 builder 已經感到的那些:prompt 注入、供應鏈攻擊、暴露或設定錯誤的伺服器、任意程式碼執行、跨 MCP 整合的資料外洩。它們鮮明的立場是:本地部署的 MCP 伺服器是「顯著的安全責任」。這對 Claude Desktop、Claude Code、Cursor 以及大多數現行客戶端整合的預設部署方式(把 MCP 伺服器作為本地子程序跑在使用者機器上)是一記直擊。Cloudflare 的答案是:在它們的開發者平台上做遠端部署,由中心化團隊管理,提供細粒度的工具暴露,以及 DLP 政策執行。企業是否同意「本地 MCP 不可接受」,還是因為彈性繼續放行,將決定這兩種架構裡哪一種勝出。
如果你在企業規模下為生產評估 MCP,從這次發布能提煉兩個具體動作。其一,假設「把 MCP 伺服器跑在本地」對受監管工作負載不是一個長期姿態。OX Security 的 STDIO 發現、Anthropic 拒絕修補參考 SDK、以及 Cloudflare 把本地伺服器定性為安全責任——這三件事疊在一起已經給本地 MCP 部署發出了警告。無論你最終選哪家供應商,都該規劃遷移到代理化、集中治理的 MCP。其二,Code Mode 的 99.9% token 降幅這一主張值得先拿你自家的工作負載做一次實測,再決定是否照單全收;但即使只是方向正確,token 經濟學就成了「治理與彈性」這個權衡裡一個嚴肅的變量。對於企業級 MCP,成本控制和安全控制現在指向同一個方向。