2026 MCP Spec: سرور کی تیاری کے لیے چیک لسٹ

اگلی Model Context Protocol (MCP) specification 28 جولائی کو آئے گی۔ یہ پروٹوکول کے آغاز کے بعد سے سب سے بڑی اپ ڈیٹ ہے۔ اس میں transport، authorization، اور tool schemas میں بڑی تبدیلیاں (breaking changes) شامل ہیں۔

اگر آپ کا سرور 2025-11-25 spec پر عمل کرتا ہے، تو یہ آج کام کرے گا۔ تاہم، ان تبدیلیوں میں request routing اور cache scope کے لیے نئی سیکیورٹی خصوصیات شامل ہیں۔

ڈیڈ لائن سے پہلے اپنے سرور کو تیار کرنے کے لیے اس چیک لسٹ کا استعمال کریں۔

اہم تبدیلیاں: Stateless Protocol MCP پروٹوکول لیئر پر ایک stateless ماڈل کی طرف منتقل ہو رہا ہے۔

  • initialize/initialized handshake کو ختم کریں۔
  • protocol version اور client info کو ہر request کے _meta field میں منتقل کریں۔
  • capability negotiation کے لیے server/discover کو نافذ کریں۔
  • Mcp-Session-Id کا استعمال بند کریں اور sticky sessions کی ضرورت کو ختم کریں۔
  • cross-call state کو واضح tool arguments (جیسے a basket_id) میں منتقل کریں۔
  • Streamable HTTP کے لیے Mcp-Method اور Mcp-Name headers کا استعمال کریں۔
  • ان requests کو مسترد کر دیں جہاں headers اور body آپس میں مطابقت نہیں رکھتے۔

Input اور Server-Initiated Requests کو ہینڈل کرنا ایک stateless پروٹوکول کو اب بھی معلومات کے لیے clients سے پوچھنے کی ضرورت ہوتی ہے۔

  • server-initiated requests صرف client request پر کارروائی (processing) کے دوران ہی جاری کریں۔
  • SSE stream کو کھلا رکھنے کے بجائے InputRequiredResult کا استعمال کریں۔
  • requestState کو غیر قابل اعتماد (untrusted) سمجھیں۔ replay attacks سے بچنے کے لیے اسے sign یا encrypt کریں۔

Cache اور Tracing نئے fields ڈیٹا کی تازگی (freshness) اور visibility کو مینیج کرنے میں مدد دیتے ہیں۔

  • list اور resource-read results میں ttlMs اور cacheScope شامل کریں۔
  • cacheScope کو صارف یا tenant کی حساسیت کے مطابق سیٹ کریں۔
  • _meta میں مقررہ W3C Trace Context key ناموں کا استعمال کریں۔
  • trust boundaries پر baggage field سے حساس ڈیٹا کو صاف (scrub) کریں۔

Authorization اور Schema Security یہ spec OAuth 2.0 کے زیادہ قریب ہے اور schema کی حفاظت کو بہتر بناتا ہے۔

  • authorization responses پر iss parameter فراہم کریں۔
  • Dynamic Client Registration میں application_type پر عمل کریں۔
  • tool schemas کے لیے JSON Schema 2020-12 اپنائیں۔
  • SSRF attacks سے بچنے کے لیے بیرونی $ref URIs کو کبھی بھی auto-dereference نہ کریں۔
  • DoS سے بچنے کے لیے schema کی گہرائی (depth) اور validation کے وقت کو محدود کریں۔
  • missing resources کے لیے -32002 کے بجائے -32602 واپس کریں۔

مبطل کیے جانے والے فیچرز اور توسیع Roots، Sampling، اور Logging کو مبطل کر دیا گیا ہے۔ tool parameters، LLM provider APIs، یا OpenTelemetry پر منتقل ہونے کی منصوبہ بندی کریں۔

  • capability map کے ذریعے extensions کو طے کریں۔
  • تجرباتی Tasks کے استعمال کو نئے extension lifecycle پر منتقل کریں۔
  • host review کے لیے MCP Apps UI templates کو پہلے سے ہی declare کر دیں۔

اپنے workloads کے مطابق ان تبدیلیوں کی تصدیق کے لیے اپنی migration جلد شروع کریں۔

ماخذ: https://dev.to/gustavo_gated/the-2026-07-28-mcp-spec-a-server-readiness-checklist-14nf

اختیاری لرننگ کمیونٹی: https://t.me/GyaanSetuAi