2026 MCP స్పెక్: సర్వర్ రెడీనెస్ చెక్లిస్ట్
తదుపరి Model Context Protocol (MCP) స్పెసిఫికేషన్ జూలై 28న విడుదల కానుంది. ప్రోటోకాల్ ప్రారంభమైనప్పటి నుండి ఇది అతిపెద్ద అప్డేట్. ఇందులో ట్రాన్స్పోర్ట్ (transport), అథరైజేషన్ (authorization) మరియు టూల్ స్కీమాలకు (tool schemas) సంబంధించిన కీలకమైన మార్పులు (breaking changes) ఉన్నాయి.
మీ సర్వర్ 2025-11-25 స్పెక్ను అనుసరిస్తుంటే, అది ప్రస్తుతం పని చేస్తుంది. అయితే, ఈ మార్పులలో రిక్వెస్ట్ రూటింగ్ (request routing) మరియు క్యాచీ స్కోప్ (cache scope) కోసం కొత్త సెక్యూరిటీ ప్రాపర్టీలు ఉన్నాయి.
గడువు ముగిసేలోపు మీ సర్వర్ను సిద్ధం చేసుకోవడానికి ఈ చెక్లిస్ట్ను ఉపయోగించండి.
ప్రధాన మార్పులు: స్టేట్లెస్ ప్రోటోకాల్ MCP ప్రోటోకాల్ లేయర్లో స్టేట్లెస్ మోడల్కు మారుతోంది.
- initialize/initialized హ్యాండ్షేక్ను తొలగించండి.
- ప్రతి రిక్వెస్ట్లోని _meta ఫీల్డ్లోకి ప్రోటోకాల్ వెర్షన్ మరియు క్లయింట్ సమాచారాన్ని మార్చండి.
- కెపాబిలిటీ నెగోషియేషన్ (capability negotiation) కోసం server/discoverని అమలు చేయండి.
- Mcp-Session-Id వాడకాన్ని నిలిపివేయండి మరియు స్టిక్కీ సెషన్ల (sticky sessions) అవసరాన్ని తొలగించండి.
- క్రాస్-కాల్ స్టేట్ను స్పష్టమైన టూల్ ఆర్గ్యుమెంట్లకు (ఉదాహరణకు basket_id) మార్చండి.
- Streamable HTTP కోసం Mcp-Method మరియు Mcp-Name హెడర్లను ఉపయోగించండి.
- హెడర్లు మరియు బాడీ సరిపోలని రిక్వెస్ట్లను తిరస్కరించండి.
ఇన్పుట్ మరియు సర్వర్-ఇనిషియేటెడ్ రిక్వెస్ట్లను హ్యాండిల్ చేయడం స్టేట్లెస్ ప్రోటోకాల్ కూడా సమాచారం కోసం క్లయింట్లను అడగాల్సి ఉంటుంది.
- క్లయింట్ రిక్వెస్ట్ను ప్రాసెస్ చేస్తున్నప్పుడు మాత్రమే సర్వర్-ఇనిషియేటెడ్ రిక్వెస్ట్లను జారీ చేయండి.
- SSE స్ట్రీమ్ను ఓపెన్గా ఉంచడానికి బదులుగా InputRequiredResultని ఉపయోగించండి.
- requestStateను నమ్మదగినదిగా పరిగణించవద్దు. రీప్లే అటాక్లను (replay attacks) నివారించడానికి దానిని సైన్ (sign) చేయండి లేదా ఎన్క్రిప్ట్ చేయండి.
క్యాచీ మరియు ట్రేసింగ్ డేటా ఫ్రెష్నెస్ (freshness) మరియు విజిబిలిటీని నిర్వహించడానికి కొత్త ఫీల్డ్లు సహాయపడతాయి.
- list మరియు resource-read ఫలితాలకు ttlMs మరియు cacheScopeలను జోడించండి.
- యూజర్ లేదా టెనెంట్ సెన్సిటివిటీకి అనుగుణంగా cacheScopeని సెట్ చేయండి.
- _metaలో స్థిరమైన W3C Trace Context కీ పేర్లను ఉపయోగించండి.
- ట్రస్ట్ బౌండరీల వద్ద baggage ఫీల్డ్ నుండి సెన్సిటివ్ డేటాను తొలగించండి (scrub).
అథరైజేషన్ మరియు స్కీమా సెక్యూరిటీ ఈ స్పెసిఫికేషన్ OAuth 2.0కి మరింత దగ్గరగా ఉంటుంది మరియు స్కీమా భద్రతను మెరుగుపరుస్తుంది.
- అథరైజేషన్ రెస్పాన్స్లలో iss పారామీటర్ను అందించండి.
- Dynamic Client Registrationలో application_typeని అనుసరించండి.
- టూల్ స్కీమాల కోసం JSON Schema 2020-12ని అనుసరించండి.
- SSRF అటాక్లను నివారించడానికి ఎప్పుడూ బాహ్య $ref URIsని ఆటో-డిరిఫరెన్స్ (auto-dereference) చేయవద్దు.
- DoS నివారించడానికి స్కీమా డెప్త్ (depth) మరియు వాలిడేషన్ సమయాన్ని పరిమితం చేయండి.
- మిస్సింగ్ రిసోర్స్ల కోసం -32002 కి బదులుగా -32602ని రిటర్న్ చేయండి.
నిలిపివేతలు మరియు విస్తరణలు Roots, Sampling, మరియు Logging నిలిపివేయబడ్డాయి. tool parameters, LLM provider APIs, లేదా OpenTelemetry కి మారడానికి ప్రణాళిక చేయండి.
- capability map ద్వారా extensions ను చర్చించండి.
- ప్రయోగాత్మక Tasks వినియోగాన్ని కొత్త extension lifecycle కి తరలించండి.
- host review కోసం MCP Apps UI templates ను ముందుగానే ప్రకటించండి.
మీ workloads తో ఈ మార్పులను సరిచూసుకోవడానికి మీ మైగ్రేషన్ను ముందుగానే ప్రారంభించండి.
మూలం: https://dev.to/gustavo_gated/the-2026-07-28-mcp-spec-a-server-readiness-checklist-14nf
ఐచ్ఛిక అభ్యాస సమూహం: https://t.me/GyaanSetuAi