不到 18 個月,Anthropic 開的 MCP 從一份規格長成 AI 工程世界的事實標準。但 2026 上半年同時發生三件事:MCP 數字爆炸、A2A 吃下 ACP 完成協議分層、KuppingerCole 與 Qualys 同時警告安全跟不上採用。如果你正在做 agent 整合,這篇是現況快照。

一個 Reddit 數據先讓你冷靜
2026 年 4 月,有人爬了 2,181 個遠端 MCP server endpoint, 跑了個健康度調查 (單一社群調查,方法論未完整公開,數字當粗略指標看):
- 9% 確認健康可用
- 37% 回應但需要認證(401/403)
- 52% 拒絕連線或回不來
- 1.5% 慢或間歇性錯誤
- 有 GitHub repo 的伺服器中,58% 過去 30 天沒有任何 commit
我看到這數字是真的被嚇到。然後我打開 Prefect CEO Jeremiah Lowin 在 ODSC 2026 的 keynote ,標題不裝飾:「Your MCP Server is Bad(and you should feel bad)」。
這篇要拆的就是這件事。MCP 規模大到嚇人,但結構性問題也大到嚇人。協議戰已經偷偷打完了——你只是還沒注意到。
數字面:MCP 不是「新興」,是「爆炸」

先把規模釐清,因為這直接影響你怎麼看後面的問題。Anthropic 在 2024 年 11 月開源 Model Context Protocol 規格。十八個月後:
| 指標 | 2026 上半年數值 |
|---|---|
| Anthropic 官方 SDK 月下載量 | ~97 million |
| 活躍公開 server 數 | 10,000+(Anthropic 自報;註冊表快照 9,652) |
GitHub mcp-server topic repos | 15,926 (2026/5/24 GitHub Search API 截至日 ) |
| 大型企業部署率 | 約 28% Fortune 500 (Truto 2026 引用 Anthropic / 多家報告綜整;單一二手來源,斟酌參考) |
| 主流 client 原生支援 | Claude Desktop、Cursor、Zed、Cline、Windsurf、VS Code、ChatGPT、Gemini、Copilot Studio |
Zuplo 的 State of MCP 報告 訪問了近百位開發者:54% 確信 MCP 會持續或成為產業標準,但 40% 仍有疑慮——這個比例非常誠實,畢竟競爭協議當時還在跑。
不過——這些「公開伺服器」數字會誤導。Pragmatic Engineer 的深度報導裡 Jeremiah Lowin 講了一句業界內幕:「真正大用量的,其實只有大約 10 個 MCP server,剩下是有海量公開伺服器幾乎零使用,而且大量企業伺服器根本不公開。」公開的長尾很長,但業務價值集中在頭部與內網。
數字看起來嚇人,現實沒那麼平均。
你的 MCP server 為什麼爛

回到 Lowin 的 keynote。他的核心論點對所有寫過 REST API 的工程師都很刺耳:
「多數 MCP server 失敗,是因為開發者把它當 REST API 設計,沒有為 agent 限制設計。」
Agent 不是用戶。Agent 的三個限制讓 REST 思路直接撞牆:
- Discovery 很貴——每個工具的描述都要塞進 context window。50 個 tool 列表動輒幾千個 token,每次呼叫都在燒
- Iteration 很慢——每次往返都有 latency 與 token 成本
- Context 有限——agent 沒辦法像人類一樣翻文件回頭看
所以 Lowin 給的設計原則直接打臉「REST API → MCP wrapper」這個最常見的偷懶做法:
設計原則:把 MCP server 當作「agent 的 UI」
| 反模式 | 正確做法 |
|---|---|
| 每個 endpoint 都包成一個 tool | 一個 tool = 一個完整 workflow(design for outcomes, not operations) |
| 巢狀物件參數 | 扁平化成 primitive 型別(string / int / bool) |
| 把 OpenAPI spec 自動轉成 50+ tools | 控制在 < 50 tools,殘酷地策展 |
| 描述只寫「Returns X」 | 給明確指示與範例,agent 是讀者 |
| 把 REST 文件複製過來當 description | 為 agent 重寫,包含 when to use / when not |
Before / After 範例
反模式(REST wrapper):
@server.tool()
def get_user(user_id: str) -> dict: ...
@server.tool()
def get_user_orders(user_id: str, limit: int = 10) -> list: ...
@server.tool()
def update_user_status(user_id: str, status: dict) -> dict: ...
@server.tool()
def calculate_user_ltv(user_id: str, period: str) -> float: ...
# ...再來 30 個類似的
agent 看到這個工具列表,會去推「我要算 LTV 是不是要先 get_user?要不要先 get_orders?status 是哪個欄位?」——把推理算力浪費在工具編排上,而不是業務問題上。
outcome-driven 設計:
@server.tool()
def analyze_customer(
customer_id: str,
include_orders: bool = True,
include_ltv: bool = False,
) -> CustomerAnalysis:
"""
取得客戶完整輪廓。預設包含基本資料與訂單。
需要 LTV 才設 include_ltv=True(會多一個資料庫查詢)。
當你需要:客戶概況、訂單回顧、流失分析時使用。
不要用於:批次匯出(請改用 export_customers)。
"""
一個 tool 解決一個完整任務,內部組合多個 REST 呼叫,外部給 agent 一個乾淨介面。這才是 agent UI 設計。
Cloudflare 的 "Code Mode" 也是同一思路——根據 Cloudflare 自家公告 , WorkOS 也轉述了同一數據 :展示了 98%+ 的 token 節省,方法是讓 agent 動態發現並呼叫 tool,而不是把所有定義一次塞進 prompt。
協議戰已經分輸贏:MCP + A2A 的雙層架構

如果你還在看「MCP vs ACP vs A2A 誰會贏」的舊文,請更新一下。戰爭已經結束。
時間線:
- 2024/11:Anthropic 推出 MCP(agent ↔ tool)
- 2025/3:IBM Research 推出 Agent Communication Protocol(ACP) ,定位 agent ↔ agent
- 2025/4:Google 發布 Agent2Agent(A2A) ,同樣管 agent ↔ agent
- 2025/6:A2A 捐贈給 Linux Foundation
- 2025/8/29:LF AI & Data 宣布 ACP 併入 A2A
- 2025/9:BeeAI 平台改用 A2A,Kate Blair(前 ACP 負責人)加入 A2A Technical Steering Committee
也就是說,今天的局面非常清楚:
┌──────────────────────────────────────────┐
│ A2A(agent ↔ agent,跨框架互通) │
│ LF 治理 / Google + IBM + 100 家以上 │
├──────────────────────────────────────────┤
│ MCP(agent ↔ tool / data / resource) │
│ Anthropic 主導 / 跨 vendor 採用 │
└──────────────────────────────────────────┘
A2A Technical Steering Committee 名單夠權威:Google、Microsoft、AWS、Cisco、Salesforce、ServiceNow、SAP、MongoDB、IBM——加上 Linux Foundation 上 100+ 家公司支持 。
UTCP(Universal Tool Calling Protocol)試圖把 OpenAI、Anthropic、Google 的 function calling 統一,但在這個分層裡找不到位置——畢竟 MCP 已經占了那個層級。
你現在做的是 agent ↔ tool?用 MCP。
你現在做的是 agent ↔ agent?用 A2A。
不要再賭協議了。
Anthropic 把 agent 變成「託管基礎設施」

5 月 6 日 Code with Claude 2026 在舊金山開,這場我看 Simon Willison 的 live blog 印象最深的不是新模型——他們沒發新模型——而是 Ami Vora(新任 CPO)開場那句:「Anthropic 平台 API 流量同比成長 17 倍。」
Dario Amodei 補了另一個面向的數字:年度化看,demand 比年初預估高出約 80 倍——這是 Q1 2026 annualized demand vs 計劃的對照,與 17x 不是同一個維度,但都是同一個訊號。
這場會的核心訊息不是「我們做了什麼酷東西」,是「我們把基礎設施做厚」。Claude Managed Agents(4/8 公測 )這次新增三個能力:
- Multi-agent Orchestration:一個 supervisor 協調一群 specialized agent
- Outcomes:定義成功條件,agent 自己迭代直到達標(像 Code 的
/goal,但跑在雲端) - Dreaming:agent 能回看以前的 session,從中改進——簡單講就是「自監督長期學習」
InfoQ 引用 Anthropic 產品經理 Jess Yan 的話最直白:「Infrastructure, rather than intelligence, is now the bottleneck for production agents.」 基礎設施而非智慧,已是 production agent 的瓶頸。
緊接著 5/19 Code with Claude London 又補了一刀:self-hosted sandboxes + MCP tunnels,讓企業可以在自己的 infra 跑 agent 執行環境,把 orchestration 留在 Anthropic。Cloudflare 5/28 推出 Claude Managed Agents on Cloudflare 整合 ——直接把 microVM、Workers VPC、Browser Run、Email 都接上去。
也就是說 Anthropic 在做的事很清楚:讓 agent 從「規格」變成「PaaS」。
對你的影響很現實:如果你要做 production agent,自己幹 sandboxed code execution + credential scoping + checkpoint + audit trail 這套基礎設施,會被 Anthropic / Cloudflare / Vercel 這類玩家輾過去。Lowin 也用 Prefect Horizon 在做同樣的事,他們直接喊「每家公司都會有 context layer,有些公司會刻意建,多數會意外建」。
這場會還有一個耐人尋味的細節:主講不是 Dario Amodei,是 product head 與工程師。這個訊號很 Anthropic——他們不再想被當成「研究實驗室」,要當「AI 原生公司」。
房間裡的大象:安全跟不上採用

採用快得不像話,但安全慘得不像話。
5 月 11 日 KuppingerCole 的 Leadership Brief 開頭就把話講明:
「MCP 已迅速成為 agentic AI 生態系的連結組織,並正以企業規模部署,卻沒有成熟的認證基線與可靠的執行時強制機制。」
Qualys 把這現象稱為 「2026 的新 Shadow IT」 ——MCP server 已經悄悄部署在企業環境裡,IT 部門根本不知道存在。
WorkOS 的 2026 MCP 全景 列出協議層級沒處理的缺口:
| 缺口類別 | 現況 |
|---|---|
| Enterprise observability | 無標準審計軌跡,每家自己發明 |
| Multi-tenancy | 協議未定義 tenant 隔離模型 |
| Rate limiting | 協議層沒有,得自己擋 |
| Cost attribution | agent 自主呼叫工具時無法追算錢 |
| 認證(authentication) | 規格在演進,但 vibe governance 還是主流 |
Lowin 講得最狠:「現在多數企業在搞 vibe governance。他們把『可以對客戶請款』這種 tool 給 agent,然後寫了一張禮貌的便條請 agent 好好用。你沒辦法用 prompt engineering 解決營運風險。」
回到 Reddit 那組數字:37% 的 server 卡在認證、52% 連不上——這不只是「品質差」,這是整個生態的執行時強制機制還沒長出來。任何打算把 MCP 推進 production 的人,都得自己補一整層 platform。
工程師現在該做什麼
把上面這些濃縮成幾條工程師可執行的建議:
- 內部 MCP > 公開 MCP:你公司內部的 MCP server 才是真正 ROI 所在;公開 MCP 多數是 demo 與長尾。
- 拒絕 REST wrapper:用 outcome-driven 設計,一個 tool 一個 workflow,控制在 < 50 個。把 description 當「給 agent 看的 UI 文案」寫。
- 架構分層別搞混:agent ↔ tool 用 MCP,agent ↔ agent 用 A2A,別亂用。
- 安全自己補:認證、執行時強制、審計、cost attribution、rate limiting——協議全部不管,你的 platform 要管。考慮用 Zuplo 、Kong 這類 MCP gateway,或自己包一層。
- 準備好「跨提供商可攜」:你今天跑 Claude,明天可能跑 GPT,後天跑 Gemini。把 prompt、tool 設計、skill 寫成跨模型可攜資產,不要 hardcode 任何一家的特色 API。
- 追蹤 Managed Agents 動態:Anthropic / Cloudflare / Vercel 都在做這層,自己幹是有可能,但要評估 ROI。對小團隊與單一專案,外包這層是合理選擇。
寫在最後
MCP 規格那麼小(三個 primitive、兩個 transport、用 JSON-RPC 2.0),擴散速度卻打破紀錄。原因不只是 Anthropic 開放——是它精準命中了 agent 工程的最大痛點:整合層。但快速擴散也意味著結構性問題會放大——9% 健康率、Lowin 的「your MCP server is bad」、KuppingerCole 的安全警告,全都在同一個時間點冒出來,不是巧合。
協議戰已經分輸贏:MCP 管 tool,A2A 管 agent,分層完成。Anthropic、Google、IBM、Microsoft、AWS 全部押這條線。
真正的賽道從「協議誰贏」轉到「誰能把整合層做得讓開發者能信任」——這是接下來 12-18 個月你會看到大量資金、新創、工具湧入的領域。
如果你正在寫第一個 MCP server,請從 Lowin 那句話開始:你不是在寫 REST API,你在寫 agent 的 UI。把這句話貼在你螢幕上。
延伸閱讀
- Model Context Protocol 官方文件
- Anthropic Code with Claude 2026 live blog(Simon Willison)
- InfoQ:Code with Claude 2026 Managed Agents 報導
- Pragmatic Engineer:Building MCP servers in the real world — 訪問 46 位開發者 + Jeremiah Lowin + 微軟 MCP 維護者
- ODSC AI East 2026 keynote:Your MCP Server is Bad
- LF AI & Data:ACP 與 A2A 合併公告
- IBM Think:A2A 解析 與 ACP 解析
- WorkOS:Everything your team needs to know about MCP in 2026
- Zuplo:The State of MCP 報告
- KuppingerCole:MCP — The API Security Problem Nobody Is Ready For
- Qualys:MCP Servers — The New Shadow IT for AI in 2026
- Cloudflare:Claude Managed Agents 整合公告
- Prefect Horizon 介紹
- Reddit:2,181 個遠端 MCP 端點健康度分析(2026/4)
沒有留言:
張貼留言