MCP 接入验收:不要把 server 启动当成安全证明

发布时间:2026/7/19 9:54:20
MCP 接入验收:不要把 server 启动当成安全证明 很多 MCP 教程从“把 server 加进配置文件”开始但真正容易出事故的是接入之后宿主到底暴露了哪些工具、资源和提示文件系统边界有没有收窄失败时能不能退回旧配置modelcontextprotocol/servers 更适合作为参考服务器集合来读。Doramagic 手册记录了 everything、filesystem、memory、sequentialthinking、fetch、git、time 七类服务器以及 TypeScript 和 Python 两套构建路径。资料页给出的第一步命令是 npx -y modelcontextprotocol/server-memory但安装命令不是运行证明也不是安全证明。我建议按下面的顺序验收先在非主力宿主配置中运行不放真实凭据确认宿主支持目标 transport 和 Node/Python 版本启动最窄的 server 后读取宿主实际发现的 tools、resources、prompts再分别测试一次允许操作、一次越界或拒绝操作以及一次回滚。记录命令、包版本、宿主、允许路径、实际暴露能力和失败输出之后才决定是否进入主力环境。这个仓库的价值在于把 MCP 的接口面摊开工具调用只是其中一部分Roots、资源、提示和 sampling 也会改变权限和可观测性。尤其是 filesystem 类能力必须把允许的目录当成验收字段而不是把“能读到文件”当成成功。边界要说清楚Doramagic 项目页记录源码、Quick Start 和沙箱安装检查已通过但当前资料包仍有社区证据待刷新这篇文章不把它写成生产认证也不声称每个 server、宿主和版本组合都已复现。项目页https://doramagic.ai/zh/projects/servers/说明书https://doramagic.ai/zh/projects/servers/manual/上游https://github.com/modelcontextprotocol/servers声明本文是 Doramagic 独立整理的资源包不代表上游官方发布或背书。