مشخصات MCP سال ۲۰۲۶: چکلیست آمادگی سرور
مشخصات بعدی پروتکل زمینه مدل (Model Context Protocol یا MCP) در تاریخ ۲۸ جولای منتشر میشود. این بزرگترین بهروزرسانی از زمان راهاندازی این پروتکل است و شامل تغییرات ساختاری (breaking changes) در بخشهای انتقال (transport)، احراز هویت (authorization) و طرحوارههای ابزار (tool schemas) است.
اگر سرور شما از مشخصات نسخه ۲۰۲۵-۱۱-۲۵ پیروی میکند، در حال حاضر به درستی کار میکند. با این حال، این تغییرات شامل ویژگیهای امنیتی جدیدی برای مسیریابی درخواستها (request routing) و محدوده حافظه پنهان (cache scope) است.
از این چکلیست برای آمادهسازی سرور خود پیش از مهلت تعیینشده استفاده کنید.
تغییرات اصلی: پروتکل بدون وضعیت (Stateless) MCP در لایه پروتکل به سمت یک مدل بدون وضعیت (stateless) حرکت میکند.
- حذف دستتکانی (handshake)
initialize/initialized. - انتقال نسخه پروتکل و اطلاعات کلاینت به فیلد
_metaدر هر درخواست. - پیادهسازی
server/discoverبرای مذاکره قابلیتها (capability negotiation). - توقف استفاده از
Mcp-Session-Idو حذف نیاز به نشستهای چسبنده (sticky sessions). - انتقال وضعیت فراخوانیهای متقابل (cross-call state) به آرگومانهای صریح ابزار (مانند یک
basket_id). - استفاده از هدرهای
Mcp-MethodوMcp-Nameبرای HTTP قابل استریم (Streamable HTTP). - رد کردن درخواستهایی که در آنها هدرها و بدنه (body) مطابقت ندارند.
مدیریت ورودیها و درخواستهای شروعشده توسط سرور یک پروتکل بدون وضعیت همچنان نیاز دارد که از کلاینتها اطلاعات بخواهد.
- درخواستهای شروعشده توسط سرور را فقط در حین پردازش یک درخواست کلاینت صادر کنید.
- به جای باز نگه داشتن یک جریان SSE، از
InputRequiredResultاستفاده کنید. - با
requestStateبه عنوان یک داده غیرقابل اعتماد برخورد کنید. برای جلوگیری از حملات بازپخش (replay attacks)، آن را امضا یا رمزنگاری کنید.
حافظه پنهان (Cache) و ردیابی (Tracing) فیلدهای جدید به مدیریت تازگی دادهها و قابلیت مشاهده آنها کمک میکنند.
- افزودن
ttlMsوcacheScopeبه نتایجlistوresource-read. - تنظیم
cacheScopeمتناسب با حساسیت کاربر یا مستأجر (tenant). - استفاده از نامهای کلید ثابت W3C Trace Context در
_meta. - پاکسازی دادههای حساس از فیلد
baggageدر مرزهای اعتماد (trust boundaries).
احراز هویت و امنیت طرحواره (Schema) این مشخصات با OAuth 2.0 همسوتر شده و امنیت طرحواره را بهبود میبخشد.
- ارائه پارامتر
issدر پاسخهای احراز هویت. - رعایت
application_typeدر ثبت دینامیک کلاینت (Dynamic Client Registration). - بهکارگیری JSON Schema 2020-12 برای طرحوارههای ابزار.
- هرگز برای جلوگیری از حملات SSRF، آدرسهای URI خارجی در
$refرا بهصورت خودکار بازنشانی (dereference) نکنید. - محدود کردن عمق طرحواره و زمان اعتبارسنجی برای جلوگیری از حملات DoS.
- بازگرداندن کد
-32602برای منابع مفقود شده به جای-32002.
منسوخ شدنها و افزونهها Roots، Sampling و Logging منسوخ شدهاند. برای انتقال به tool parameters، LLM provider APIs یا OpenTelemetry برنامهریزی کنید.
- افزونهها را از طریق capability map مذاکره کنید.
- استفاده از Tasks آزمایشی را به چرخه حیات جدید افزونهها منتقل کنید.
- قالبهای UI برنامههای MCP را برای بررسی host از قبل اعلام کنید.
مهاجرت خود را زودتر شروع کنید تا این تغییرات را با workloads خود بسنجید.
منبع: https://dev.to/gustavo_gated/the-2026-07-28-mcp-spec-a-server-readiness-checklist-14nf
انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi