مشخصات MCP سال ۲۰۲۶: چک‌لیست آمادگی سرور

مشخصات بعدی پروتکل زمینه مدل (Model Context Protocol یا MCP) در تاریخ ۲۸ جولای منتشر می‌شود. این بزرگترین به‌روزرسانی از زمان راه‌اندازی این پروتکل است و شامل تغییرات ساختاری (breaking changes) در بخش‌های انتقال (transport)، احراز هویت (authorization) و طرح‌واره‌های ابزار (tool schemas) است.

اگر سرور شما از مشخصات نسخه ۲۰۲۵-۱۱-۲۵ پیروی می‌کند، در حال حاضر به درستی کار می‌کند. با این حال، این تغییرات شامل ویژگی‌های امنیتی جدیدی برای مسیریابی درخواست‌ها (request routing) و محدوده حافظه پنهان (cache scope) است.

از این چک‌لیست برای آماده‌سازی سرور خود پیش از مهلت تعیین‌شده استفاده کنید.

تغییرات اصلی: پروتکل بدون وضعیت (Stateless) MCP در لایه پروتکل به سمت یک مدل بدون وضعیت (stateless) حرکت می‌کند.

  • حذف دست‌تکانی (handshake) initialize/initialized.
  • انتقال نسخه پروتکل و اطلاعات کلاینت به فیلد _meta در هر درخواست.
  • پیاده‌سازی server/discover برای مذاکره قابلیت‌ها (capability negotiation).
  • توقف استفاده از Mcp-Session-Id و حذف نیاز به نشست‌های چسبنده (sticky sessions).
  • انتقال وضعیت فراخوانی‌های متقابل (cross-call state) به آرگومان‌های صریح ابزار (مانند یک basket_id).
  • استفاده از هدرهای Mcp-Method و Mcp-Name برای HTTP قابل استریم (Streamable HTTP).
  • رد کردن درخواست‌هایی که در آن‌ها هدرها و بدنه (body) مطابقت ندارند.

مدیریت ورودی‌ها و درخواست‌های شروع‌شده توسط سرور یک پروتکل بدون وضعیت همچنان نیاز دارد که از کلاینت‌ها اطلاعات بخواهد.

  • درخواست‌های شروع‌شده توسط سرور را فقط در حین پردازش یک درخواست کلاینت صادر کنید.
  • به جای باز نگه داشتن یک جریان SSE، از InputRequiredResult استفاده کنید.
  • با requestState به عنوان یک داده غیرقابل اعتماد برخورد کنید. برای جلوگیری از حملات بازپخش (replay attacks)، آن را امضا یا رمزنگاری کنید.

حافظه پنهان (Cache) و ردیابی (Tracing) فیلدهای جدید به مدیریت تازگی داده‌ها و قابلیت مشاهده آن‌ها کمک می‌کنند.

  • افزودن ttlMs و cacheScope به نتایج list و resource-read.
  • تنظیم cacheScope متناسب با حساسیت کاربر یا مستأجر (tenant).
  • استفاده از نام‌های کلید ثابت W3C Trace Context در _meta.
  • پاکسازی داده‌های حساس از فیلد baggage در مرزهای اعتماد (trust boundaries).

احراز هویت و امنیت طرح‌واره (Schema) این مشخصات با OAuth 2.0 همسوتر شده و امنیت طرح‌واره را بهبود می‌بخشد.

  • ارائه پارامتر iss در پاسخ‌های احراز هویت.
  • رعایت application_type در ثبت دینامیک کلاینت (Dynamic Client Registration).
  • به‌کارگیری JSON Schema 2020-12 برای طرح‌واره‌های ابزار.
  • هرگز برای جلوگیری از حملات SSRF، آدرس‌های URI خارجی در $ref را به‌صورت خودکار بازنشانی (dereference) نکنید.
  • محدود کردن عمق طرح‌واره و زمان اعتبارسنجی برای جلوگیری از حملات DoS.
  • بازگرداندن کد -32602 برای منابع مفقود شده به جای -32002.

منسوخ شدن‌ها و افزونه‌ها Roots، Sampling و Logging منسوخ شده‌اند. برای انتقال به tool parameters، LLM provider APIs یا OpenTelemetry برنامه‌ریزی کنید.

  • افزونه‌ها را از طریق capability map مذاکره کنید.
  • استفاده از Tasks آزمایشی را به چرخه حیات جدید افزونه‌ها منتقل کنید.
  • قالب‌های UI برنامه‌های MCP را برای بررسی host از قبل اعلام کنید.

مهاجرت خود را زودتر شروع کنید تا این تغییرات را با workloads خود بسنجید.

منبع: https://dev.to/gustavo_gated/the-2026-07-28-mcp-spec-a-server-readiness-checklist-14nf

انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi