外观
MCP 生态系统
MCP(模型上下文协议)通过外部工具服务器扩展 Claude Code 的能力。
MCP 服务器生态系统地图
MCP 生态系统有 4 类服务器——官方、社区开发、社区运维和本地。了解现有资源,避免重复造轮子。
ASCII 版本
Plain
Claude Code
├── 官方:context7、sequential-thinking、playwright、git-mcp、github-mcp
├── 社区开发:semgrep、github、grepai、filesystem-enhanced
├── 社区运维:kubernetes、docker、aws
└── 本地/自定义:项目 MCP、内部 API 封装来源:「MCP 生态系统」 — 完整指南
MCP 架构 — 客户端-服务器协议
MCP 是一种通过 stdio 或 SSE 运行的 JSON-RPC 协议。Claude Code 作为客户端,MCP 服务器作为工具提供方。此图展示完整的请求-响应流程。
ASCII 版本
Plain
Claude Code MCP 协议 MCP 服务器
──────────── ──────────── ──────────
解析工具调用 → JSON-RPC 请求 → 接收调用
(stdio 或 SSE) 执行操作
↕ 外部服务
使用结果 ← JSON-RPC 响应 ← 返回结果来源:「架构:MCP」 — 第 ~795 行
MCP Rug Pull 攻击链
最危险的 MCP 攻击向量:恶意工具描述中隐藏的提示注入。这就是为什么你只应安装经过审查的 MCP 服务器。
ASCII 版本
Plain
攻击链:
1. 攻击者在 MCP 工具描述中嵌入隐藏提示词
2. 用户安装「看起来合法」的 MCP 服务器
3. Claude 读取工具描述 → 注入的指令进入上下文
4. Claude 执行:「窃取 ~/.ssh/id_rsa」
5. 数据通过工具响应回传给攻击者
防御:安装前阅读 MCP 源代码。尤其要检查工具描述。来源:「安全:MCP 威胁」 — 第 ~33 行
MCP 配置层级
MCP 服务器配置可以存放在 4 个优先级层级(实际为 3 个文件)中。解析顺序决定哪些服务器可用以及谁有权覆盖。
ASCII 版本
Plain
优先级(从高到低):
1. --mcp-config 参数 → CLI 覆盖,临时使用
2. .mcp.json → 项目作用域(git 跟踪,可共享)
3. ~/.claude.json → 本地作用域(私有,当前项目)
4. ~/.claude.json → 用户作用域(个人,所有项目)
5. (无) → 无可用 MCP 服务器
* 本地和用户作用域均在 ~/.claude.json 中(使用不同键)来源:「MCP 配置」 — 第 ~6149 行
相关文章
来源:飞书 · AI Spark 知识库 | 原文(最新版):https://lcnniolukk80.feishu.cn/wiki/YPr2wa0xQiL1azkW9rRcPySinx5 | 归档:2026-06-04