𝗧𝗵𝗲 𝟮𝟬𝟮𝟲 𝗠𝗖𝗣 𝗦𝗽𝗲𝗰: 𝗔 𝗦𝗲𝗿𝘃𝗲𝗿 𝗥𝗲𝗮𝗱𝗶𝗻𝗲𝘀𝘀 𝗖𝗵𝗲𝗰𝗸𝗹𝗶𝘀𝘁

Spesifikasi Model Context Protocol (MCP) yang seterusnya akan tiba pada 28 Julai. Ini merupakan kemas kini terbesar sejak protokol ini dilancarkan. Ia merangkumi perubahan drastik (breaking changes) pada pengangkutan (transport), kebenaran (authorization), dan skema alatan (tool schemas).

Jika pelayan anda mengikut spesifikasi 2025-11-25, ia masih berfungsi hari ini. Walau bagaimanapun, perubahan ini merangkumi ciri keselamatan baharu untuk penghalaan permintaan (request routing) dan skop cache.

Gunakan senarai semak ini untuk menyediakan pelayan anda sebelum tarikh akhir.

𝗠𝗮𝗷𝗼𝗿 𝗖𝗵𝗮𝗻𝗴𝗲𝘀: 𝗦𝘁𝗮𝘁𝗲𝗹𝗲𝘀𝘀 𝗣𝗿𝗼𝘁𝗼𝗰𝗼𝗹 MCP sedang beralih ke model tanpa state (stateless) pada lapisan protokol.

  • Buang jabat tangan (handshake) initialize/initialized.
  • Pindahkan versi protokol dan maklumat klien ke dalam medan _meta bagi setiap permintaan.
  • Laksanakan server/discover untuk rundingan keupayaan (capability negotiation).
  • Berhenti menggunakan Mcp-Session-Id dan hapuskan keperluan untuk sesi melekat (sticky sessions).
  • Pindahkan state merentas-panggilan (cross-call state) ke argumen alatan yang eksplisit (seperti basket_id).
  • Gunakan pengepala (header) Mcp-Method dan Mcp-Name untuk Streamable HTTP.
  • Tolak permintaan di mana pengepala dan kandungan (body) tidak sepadan.

𝗛𝗮𝗻𝗱𝗹𝗶𝗻𝗴 𝗜𝗻𝗽𝘂𝘁 𝗮𝗻𝗱 𝗦𝗲𝗿𝘃𝗲𝗿-𝗜𝗻𝗶𝘁𝗶𝗮𝘁𝗲𝗱 𝗥𝗲𝗾𝘂𝗲𝘀𝘁𝘀 Protokol tanpa state masih perlu meminta maklumat daripada klien.

  • Hanya keluarkan permintaan yang dimulakan oleh pelayan semasa memproses permintaan klien.
  • Gunakan InputRequiredResult dan bukannya mengekalkan aliran SSE yang terbuka.
  • Anggap requestState sebagai tidak dipercayai. Tandatangani atau enkripsi ia untuk mengelakkan serangan ulangan (replay attacks).

𝗖𝗮𝗰𝗵𝗲 𝗮𝗻𝗱 𝗧𝗿𝗮𝗰𝗶𝗻𝗴 Medan baharu membantu mengurus kesegaran dan keterlihatan data.

  • Tambah ttlMs dan cacheScope kepada hasil senarai (list) dan baca-sumber (resource-read).
  • Tetapkan cacheScope supaya sepadan dengan sensitiviti pengguna atau penyewa (tenant).
  • Gunakan nama kunci W3C Trace Context yang tetap dalam _meta.
  • Bersihkan data sensitif daripada medan baggage pada sempadan kepercayaan (trust boundaries).

𝗔𝘂𝘁𝗵𝗼𝗿𝗶𝘇𝗮𝘁𝗶𝗼𝗻 𝗮𝗻𝗱 𝗦𝗰𝗵𝗲𝗺𝗮 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 Spesifikasi ini selaras dengan OAuth 2.0 dan meningkatkan keselamatan skema.

  • Sediakan parameter iss pada respons kebenaran.
  • Patuhi application_type dalam Pendaftaran Klien Dinamik (Dynamic Client Registration).
  • Gunakan JSON Schema 2020-12 untuk skema alatan.
  • Jangan sesekali melakukan auto-dereference pada URI $ref luaran untuk mengelakkan serangan SSRF.
  • Hadkan kedalaman skema dan masa pengesahan untuk mengelakkan DoS.
  • Pulangkan -32602 untuk sumber yang hilang dan bukannya -32002.

𝗗𝗲𝗽𝗿𝗲𝗰𝗮𝘁𝗶𝗼𝗻𝘀 𝗮𝗻𝗱 𝗘𝘅𝘁𝗲𝗻𝘀𝗶𝗼𝗻𝘀 Roots, Sampling, and Logging are deprecated. Plan to move to tool parameters, LLM provider APIs, or OpenTelemetry.

  • Negotiate extensions through the capability map.
  • Migrate experimental Tasks usage to the new extension lifecycle.
  • Declare MCP Apps UI templates ahead of time for host review.

Start your migration early to validate these changes against your workloads.

Source: https://dev.to/gustavo_gated/the-2026-07-28-mcp-spec-a-server-readiness-checklist-14nf

Optional learning community: https://t.me/GyaanSetuAi