從數據安全角度淺析Model Context Protocol數據與大模型接口協議
責編:gltian |2025-03-13 16:46:242024年11月,人工智能公司Anthropic(Claude)推出了開源協議Model Context Protocol(MCP),旨在為AI模型與外部數據源和服務之間的集成提供標準化接口。MCP基于客戶端-服務器模型,支持雙向交互,并提供本地或遠程資源的訪問能力。在數據安全方面,MCP采取了一系列措施,如資源控制與數據安全、數據隱私保護、用戶同意與控制、安全通信與訪問控制以及審計與透明性等。這些特性不僅增強了數據使用的安全性,還促進了數據安全和隱私保護的發展。MCP與現有的隱私計算技術互為補充,共同推動了數據安全領域的進步。
大模型與數據安全技術回顧
大模型與數據安全是當前人工智能領域的關鍵議題。隨著大模型能力的持續突破(如GPT-4、Sora、DeepSeek等),其數據安全風險日益復雜嚴峻。
如何在保護模型擁有方和數據擁有方數據安全前提下進行大模型訓練及推理,一直是難點和熱點問題。
現有的技術手段包括:聯邦學習(見上圖)、同態加密、多方安全計算(MPC)等隱私計算方式、可信執行環境(TEE)等數據沙箱技術、模型水印、差分隱私等模型保護技術、隱私推理、動態脫敏等安全推理技術。
MCP協議架構及關鍵技術
MCP簡介
2024年11月人工智能公司Claude(Anthropic)推出了開源協議Model Context Protocol(MCP),旨在AI模型與外部數據源及服務之間的集成提供標準化接口。
它通過定義統一的通信協議和架構,類似于傳統互聯網的TCP/IP 協議,使得 AI系統能夠無縫地與多種數據源(包括本地資源如文件、數據庫,以及遠程資源如 API)進行交互,從而擴展AI的應用范圍和提高其效率,解決傳統開發中數據源對接繁瑣、重復開發的問題,使AI系統能夠更高效地訪問和利用多源數據,從而提升模型的上下文感知能力和任務協作效率。
Claude 發布了 MCP 后,官方的 Claude Desktop 就開放了 MCP 功能,并且推動了開源組織 Model Context Protocol.io,并得到了眾多公司和社區參與與支持,包括文件系統、AWS、K8S、Git、Github、PostgreSQL、JetBrains 、GoogleCalendar/Map/Drive、YouTube 、X等。
MCP架構
MCP基于客戶端-服務器模型,共分五個部分:
MCP Hosts: 是指 LLM 啟動連接的應用程序,像 Cursor, Claude Desktop、Cline 這樣的應用程序。
MCP Clients: 是用來在 Hosts 應用程序內維護與 Server 之間 1:1 連接的協議代理。
MCP Servers: 通過標準化的協議,實現了 Client 客戶端端與Servers服務端雙向交互,提供本地或遠程資源的訪問能力(如數據庫查詢、API調用),并可以通過MCP客戶端調用大模型相關能力,具體包括:
(1)客戶端調用服務端能力:資源(Resources)、工具(Tools)、提示模板(Prompts):服務端通過這三類標準化接口暴露本地及遠程數據(文件、數據庫和 API等數據資源)、功能(可執行函數)與交互模板。
(2)服務端調用客戶端能力:采樣(Sampling)能力:服務端通過客戶端請求大型語言模型(LLM)進行補全(completions)或生成(generations),以及遞歸嵌套交互,使得服務器能夠在保持安全性和隱私性的同時,實現復雜任務的自動化。
MCP關鍵技術
(1)MCP工作流程包括以下步驟:
初始化:主機應用程序啟動并初始化客戶端,每個客戶端與一個服務器建立連接。
功能協商:客戶端和服務器之間進行功能協商,確定它們可以相互提供哪些功能和服務。
請求處理:客戶端根據用戶請求或AI模型的需要,向服務器發送請求。服務器處理這些請求,并可能與本地或遠程資源進行交互。
響應返回:服務器將處理結果返回給客戶端,客戶端再將信息傳遞回主機應用程序。
(2)MCP通信機制:
MCP通信遵循客戶端-服務器架構,即MCP Clients與MCP Servers之間建立一對一的連接。這種設計允許MCP Hosts(如AI應用程序)通過MCP Clients與一個或多個MCP Servers進行通信,以獲取數據和執行任務。
MCP支持兩種類型的通信機制:
標準輸入輸出(Stdio):適用于本地進程間通信,其中Client啟動Server程序作為子進程,消息通訊通過stdin/stdout進行,消息格式為JSON-RPC 2.0。
服務器發送事件(SSE):用于基于HTTP的通信,允許服務器向客戶端推送消息,而客戶端到服務器的消息傳遞則使用HTTP POST,同樣采用JSON-RPC 2.0格式進行消息交換。
所有傳輸都使用JSON-RPC 2.0進行消息交換,這為MCP Clients和MCP Servers之間的通信提供了統一的消息格式。至于連接類型,MCP沒有明確指出是長連接還是短連接,但考慮到其基于JSON-RPC 2.0的特性,它更可能支持長連接,以便保持客戶端和服務器之間的持久交互狀態。
(3)MCP通信協議:
MCP通信協議可以是TCP或UDP,這取決于具體的實現和部署需求。
例如,如果MCP服務器和客戶端在同一臺機器上運行,可能會使用UDP。如果它們分布在不同的機器上,或者需要跨越網絡邊界,那么TCP可能是更好的選擇,因為它提供了更可靠的傳輸保證。然而,MCP的設計允許它適應不同的網絡環境和通信需求。
MCP數據安全淺析
通過MCP架構及關鍵技術,可以看到MCP中保障數據與模型安全的方法包括:
1.資源控制與數據安全:通過本地服務器與數據源的連接,MCP避免了將敏感數據上傳到第三方平臺,。服務器控制自己的資源,無需將敏感信息(如API密鑰)提供給LLM提供商,最大限度地保障了數據隱私。
2.數據隱私保護:MCP通過標準化的數據訪問接口減少直接接觸敏感數據的環節,降低數據泄露風險。主機在向服務器公開用戶數據前需獲得用戶明確同意,且不得未經同意傳輸資源數據。
3.用戶同意與控制:在調用任何工具或進行LLM采樣之前,用戶必須明確批準,且協議限制了服務器對提示的可見性。這確保了用戶對數據使用的透明性和控制權。
4.安全通信與訪問控制:MCP支持雙向安全通信,采用加密算法確保數據在傳輸過程中的安全性。同時,MCP內置訪問控制機制,確保只有經過驗證的請求才能訪問特定資源。
因此,MCP和業界隱私計算等技術的核心目標都是在數據使用過程中保護隱私,確保數據“可用不可見”。MCP通過限制服務器對用戶數據的直接訪問,避免敏感信息泄露。隱私計算則通過聯邦學習算法、密碼學和硬件技術實現數據的安全共享。兩者在實際應用中可以互補,共同推動數據安全和隱私保護的發展。
審稿:李征 | 業務研究所
本文作者:數聯網DSSN團隊·邢輝峰,就職于中國移動研究院,主要從事隱私計算、數字空間、數據基礎設施、大數據等領域研究工作。