此文件記錄了針對「模型上下文協議(MCP)」初學者課程所做的所有重要變更。變更以時間倒序排列(最新變更在最前)。
- MCP-SECURITY-BEST-PRACTICES-2025.md:根據 MCP 規範 2025-06-18 完全重寫
- 強制性要求:新增來自官方規範的明確 MUST/MUST NOT 要求,並提供清晰的視覺標記
- 12 項核心安全實踐:從 15 項列表重構為全面的安全領域
- 使用外部身份提供者整合的令牌安全與身份驗證
- 包含加密要求的會話管理與傳輸安全
- 整合 Microsoft Prompt Shields 的 AI 特定威脅防護
- 遵循最小權限原則的訪問控制與權限管理
- 整合 Azure Content Safety 的內容安全與監控
- 涵蓋全面組件驗證的供應鏈安全
- 使用 PKCE 實現的 OAuth 安全與混淆代理防護
- 自動化功能的事件響應與恢復
- 與法規對齊的合規性與治理
- 採用零信任架構的高級安全控制
- 整合 Microsoft 安全生態系統的全面解決方案
- 持續安全演進的自適應實踐
- Microsoft 安全解決方案:增強 Prompt Shields、Azure Content Safety、Entra ID 和 GitHub Advanced Security 的整合指導
- 實施資源:按官方 MCP 文檔、Microsoft 安全解決方案、安全標準和實施指南分類的全面資源鏈接
- MCP-SECURITY-CONTROLS-2025.md:以企業級安全框架進行全面改造
- 9 個全面安全領域:從基礎控制擴展到詳細的企業框架
- 整合 Microsoft Entra ID 的高級身份驗證與授權
- 涵蓋全面驗證的令牌安全與防止傳遞控制
- 防止劫持的會話安全控制
- 防範提示注入和工具中毒的 AI 特定安全控制
- 使用 OAuth 代理安全的混淆代理攻擊防護
- 使用沙盒和隔離的工具執行安全
- 涵蓋依賴性驗證的供應鏈安全控制
- 整合 SIEM 的監控與檢測控制
- 自動化功能的事件響應與恢復
- 實施範例:新增詳細的 YAML 配置塊和代碼範例
- Microsoft 解決方案整合:全面涵蓋 Azure 安全服務、GitHub Advanced Security 和企業身份管理
- 9 個全面安全領域:從基礎控制擴展到詳細的企業框架
- README.md:針對企業安全實施進行全面重寫
- 當前規範對齊:更新至 MCP 規範 2025-06-18,包含強制性安全要求
- 增強身份驗證:整合 Microsoft Entra ID,並提供全面的 .NET 和 Java Spring Security 範例
- AI 安全整合:實施 Microsoft Prompt Shields 和 Azure Content Safety,並提供詳細的 Python 範例
- 高級威脅緩解:提供全面的實施範例,包括:
- 使用 PKCE 和用戶同意驗證的混淆代理攻擊防護
- 使用受眾驗證和安全令牌管理的令牌傳遞防護
- 使用加密綁定和行為分析的會話劫持防護
- 企業安全整合:Azure Application Insights 監控、威脅檢測管道和供應鏈安全
- 實施清單:清晰區分強制性與建議性安全控制,並強調 Microsoft 安全生態系統的優勢
- 規範參考:更新所有參考至當前 MCP 規範 2025-06-18
- Microsoft 安全生態系統:增強所有安全文檔中的整合指導
- 實用實施:新增 .NET、Java 和 Python 的詳細代碼範例,並採用企業模式
- 資源組織:按官方文檔、安全標準和實施指南進行全面分類
- 視覺標記:清晰標註強制性要求與建議性實踐
- 協議版本更新:更新為參考當前 MCP 規範 2025-06-18,並採用基於日期的版本格式(YYYY-MM-DD)
- 架構精煉:增強對主機、客戶端和服務器的描述,以反映當前 MCP 架構模式
- 主機現在明確定義為協調多個 MCP 客戶端連接的 AI 應用
- 客戶端描述為維持一對一服務器關係的協議連接器
- 服務器增強了本地與遠程部署場景的描述
- 原語重構:全面改造服務器和客戶端原語
- 服務器原語:資源(數據源)、提示(模板)、工具(可執行功能),並提供詳細解釋和範例
- 客戶端原語:採樣(LLM 完成)、引導(用戶輸入)、日誌(調試/監控)
- 更新為當前的發現(
*/list)、檢索(*/get)和執行(*/call)方法模式
- 協議架構:引入雙層架構模型
- 數據層:基於 JSON-RPC 2.0 的基礎,包含生命周期管理和原語
- 傳輸層:STDIO(本地)和可流式 HTTP(遠程)傳輸機制
- 安全框架:全面的安全原則,包括明確的用戶同意、數據隱私保護、工具執行安全和傳輸層安全
- 通信模式:更新協議消息以展示初始化、發現、執行和通知流程
- 代碼範例:刷新多語言範例(.NET、Java、Python、JavaScript),以反映當前 MCP SDK 模式
- 標準對齊:完全對齊 MCP 規範 2025-06-18 的安全要求
- 身份驗證演進:記錄從自定義 OAuth 服務器到外部身份提供者委派(Microsoft Entra ID)的演進
- AI 特定威脅分析:增強對現代 AI 攻擊向量的覆蓋
- 提供詳細的提示注入攻擊場景和實例
- 工具中毒機制和「地毯拉動」攻擊模式
- 上下文窗口中毒和模型混淆攻擊
- Microsoft AI 安全解決方案:全面覆蓋 Microsoft 安全生態系統
- AI Prompt Shields,包含高級檢測、聚焦和分隔技術
- Azure Content Safety 整合模式
- GitHub Advanced Security 用於供應鏈保護
- 高級威脅緩解:詳細的安全控制,包括:
- MCP 特定攻擊場景中的會話劫持,並要求加密會話 ID
- MCP 代理場景中的混淆代理問題,並要求明確的同意
- 令牌傳遞漏洞,並要求強制驗證控制
- 供應鏈安全:擴展 AI 供應鏈覆蓋,包括基礎模型、嵌入服務、上下文提供者和第三方 API
- 基礎安全:增強與企業安全模式的整合,包括零信任架構和 Microsoft 安全生態系統
- 資源組織:按類型(官方文檔、標準、研究、Microsoft 解決方案、實施指南)分類的全面資源鏈接
- 結構化學習目標:增強學習目標,提供具體且可操作的成果
- 交叉參考:新增相關安全和核心概念主題之間的鏈接
- 最新信息:更新所有日期參考和規範鏈接至當前標準
- 實施指導:在兩個部分中新增具體且可操作的實施指南
- 完全重新設計 README.md 中的課程導航
- 用更易訪問的基於表格的格式替換
<details>標籤 - 在新建的 "alternative_layouts" 文件夾中創建替代佈局選項
- 添加基於卡片、標籤式和手風琴式的導航範例
- 更新存儲庫結構部分以包含所有最新文件
- 增強「如何使用此課程」部分,提供清晰的建議
- 更新 MCP 規範鏈接以指向正確的 URL
- 在課程結構中新增上下文工程部分(5.14)
- 完全修訂學習指南以與當前存儲庫結構對齊
- 為 MCP 客戶端與工具以及流行的 MCP 服務器新增章節
- 更新視覺課程地圖以準確反映所有主題
- 增強高級主題的描述以涵蓋所有專業領域
- 更新案例研究部分以反映實際範例
- 添加此全面的變更記錄
- 新增有關圖像生成的 MCP 服務器詳細信息
- 新增在 VSCode 中使用 Claude 的全面部分
- 添加 Cline 終端客戶端的設置和使用說明
- 更新 MCP 客戶端部分以包含所有流行的客戶端選項
- 增強貢獻範例,提供更準確的代碼範例
- 使用一致的命名方式組織所有專業主題文件夾
- 添加上下文工程材料和範例
- 添加 Foundry 代理整合文檔
- 增強 Entra ID 安全整合文檔
- 發布 MCP 初學者課程的第一版
- 為所有 10 個主要部分創建基本結構
- 實現視覺課程地圖以進行導航
- 在多種編程語言中新增初始示例項目
- 創建第一個服務器實現範例
- 添加客戶端開發指導
- 包括 LLM 客戶端整合說明
- 添加 VS Code 整合文檔
- 實現服務器發送事件(SSE)服務器範例
- 添加有關客戶端-服務器架構的詳細解釋
- 創建關鍵協議組件的文檔
- 記錄 MCP 中的消息模式
- 使用基本文件夾結構初始化存儲庫
- 為每個主要部分創建 README 文件
- 設置翻譯基礎設施
- 添加圖像資產和圖表
- 創建包含課程概述的初始 README.md
- 添加 CODE_OF_CONDUCT.md 和 SECURITY.md
- 設置 SUPPORT.md,提供獲取幫助的指導
- 創建初步學習指南結構
- 為 MCP 初學者課程進行初步規劃
- 定義學習目標和目標受眾
- 概述課程的 10 部分結構
- 為示例和案例研究開發概念框架
- 為關鍵概念創建初始原型範例
免責聲明:
本文件使用 AI 翻譯服務 Co-op Translator 進行翻譯。我們致力於提供準確的翻譯,但請注意,自動翻譯可能包含錯誤或不準確之處。應以原始語言的文件作為權威來源。對於關鍵資訊,建議尋求專業人工翻譯。我們對因使用此翻譯而產生的任何誤解或錯誤解讀概不負責。