从代理风险到代理信心：JFrog MCP Registry 正式发布

在人工智能原生世界中，模型上下文协议（MCP）已成为 AI 连接的通用标准，安全与治理的重要性也随之达到了前所未有的高度。AI 通过 MCP 执行自主行动的能力意味着，哪怕一个 MCP 服务器遭到入侵，攻击者就有可能控制关键任务企业系统，使企业立即陷入不断升级的“代理风险”之中，这一风险不容忽视。

去年 11 月，我们承诺为 AI 生态系统提供“单一可信源”。今天，我们兑现了这一承诺。

我们自豪地宣布，JFrog MCP Registry 正式发布：这是业界唯一的企业级管控平面，能够在整个代理型软件供应链中，统一对 MCP 服务器的治理与安全防护。它作为所有 MCP 服务器的单一可信源，可在网关处拦截恶意服务器，并对 MCP 工具实施细粒度的访问控制，从而防止未经授权或破坏性指令的执行。

在这个 AI 新时代，关键的区别不仅仅在于智能，而在于访问权限。

过去，我们习惯将 AI 模型当作安全运行在浏览器窗口内的对话式聊天机器人。但与之不同，代理型 AI 直接在你的基础设施内部运作。为了发挥作用，这些代理需要获得各种权限——例如，读取专有代码、查询内部数据库、执行命令等。

MCP 服务器提供了前所未有的访问能力，但如果没有一个 registry 来对其进行治理，这种访问就等同于“盲目信任”。随着 AI 应用的规模化扩展，你的风险暴露面也在同步扩大，这实际上等同于在零监管的情况下，将“直接操作键盘”赋予了外部实体。

在过去的一年里，开发者们一直在从零散的各种来源（如 GitHub 仓库、社区目录、供应商直接下载）下载成千上万个 MCP 服务器，并将其直接连接到他们的本地计算机上。

对于许多领导者而言，面对这一困境，第一反应便是直接封禁。

这并非因为他们想要扼制 AI 的应用，而是因为他们意识到，未经核验的 MCP 服务器引入了不容忽视的风险，这使得任何负责任的 CISO 都难以在企业范围内推行 AI 应用：

◎ 零可见性：你无法保护你看不见的东西。这些 MCP 威胁不仅绕过了防护网关，更是在完全不受监控的情况下进入了企业边界。

◎ 零治理：目前没有任何机制来强制执行治理策略，也无法阻止权限过高的代理访问 MCP 工具。

◎ 执行风险：MCP 服务器本质上是一个可执行的二进制文件。如果开发者无意中引入了一个恶意服务器，使用它的代理就可能会泄露密钥、注入恶意代码，甚至删除目录。

直到今天，企业仍不得不依赖不完整的点状解决方案来管理 MCP 应用带来的风险。现有的解决方案分裂为两种极端，在保障和治理“代理型软件供应链”方面留下了关键缺口。

当前的选择包括：

◎ 运行时点状方案：这些利基工具严格聚焦于可观测性、身份认证，以及仅在 MCP 服务器进入企业之后、执行时的监控。

◎ 网关点状方案：这些工具将 MCP 服务器纯粹视为网络端点，聚焦于流量管理和路由逻辑。

这两种方案都忽略了“代理型软件供应链”的现实，将 MCP 服务器当作临时性的网络端点，而非持久性的软件制品。由于只关注“管道”或“动作”，而忽视了来源，这些工具只能在服务器进入企业环境之后——也就是风险最高的时候——才做出反应。这种未能从源头治理代理访问权限的缺陷，使得企业暴露在能够完全绕过边界的供应链攻击风险之下。

我们构建 JFrog MCP Registry，正是为了弥合“野蛮生长式执行”与“主动封禁式管控”之间的鸿沟。企业需要的并非另一个孤立的工具来监控流量，而是一个能主动治理开发者与代理所需预批准 AI 资产的统一记录系统。

通过将 MCP 服务器作为受管理的软件制品来处理，我们提供了将自主代理纳入统一管控所需的能力。现在，您既能赋能开发者使用代理型工具，又能同时维护企业所需的严格安全与合规标准，在创新、速度与风险之间实现平衡。

我们构建 JFrog MCP Registry，是因为您不必为了企业级安全而牺牲开发速度。通过提供这一能力，我们完善了我们的愿景，使 JFrog AI Catalog 真正成为代理型软件供应链的统一记录系统。

现在，您终于无需再对开发者说“不”，可以在不牺牲信任的前提下大规模采用 MCP。预约 JFrog 专家演示，或参加我们即将举办的线上简报会，亲眼见证 MCP Registry 的实际应用。