第一层:基础认知(Why / What)【5 题】
Q1. 【你如何用一句话解释 MCP 解决的核心问题?】
面试官为什么问这个问题:
这个问题不是在考协议定义,而是在判断候选人是否真正理解 MCP 出现的”工程背景”。
如果回答停留在”统一接口””标准协议”,通常意味着只看过文档,没有真实用过。
面试官希望听到的是:为什么不用 MCP,Agent 在企业环境里会失控。
参考口语化回答:
我通常一句话概括:MCP 不是让 Agent”多会调用工具”,而是让 Agent 的工具能力被明确描述、被限制、被审计。
在没有 MCP 之前,Agent 调工具本质上是”模型临时决定 + 程序兜底”,但一旦工具多、系统杂,就很难知道它能做什么、不能做什么、做过什么。
MCP 把工具和上下文变成一个可治理的协议层对象,这是我认为它真正解决的问题。
Q2. 【MCP 和传统 Tool Calling / Function Calling 的本质区别是什么?】
面试官为什么问这个问题:
很多候选人”会用 Function Calling”,但并不理解为什么企业会引入 MCP。
这个问题在区分:你是把 MCP 当成”新写法”,还是理解它是”治理层”。
参考口语化回答:
Function Calling 更像是”模型能不能调用这个函数”,而 MCP 关心的是:
这个工具是谁提供的、权限是什么、上下文边界在哪里、调用是否可追溯。
在工程里,Function Calling 通常是”代码级能力”,而 MCP 是平台级契约。
前者解决调用,后者解决责任、边界和风险,这在生产环境里差别非常大。
Q3. 【为什么企业级 Agent 一定会走向 MCP 或类似协议?】
面试官为什么问这个问题:
这是在考候选人的系统视角,而不是 API 使用能力。
面试官想确认你是否见过 Agent 从 Demo 走向生产后的”失控阶段”。
参考口语化回答:
因为一旦 Agent 真正接入企业系统,问题就不再是”能不能做”,而是”谁允许它做、出事谁负责”。
工具一多、系统一杂,如果没有统一协议去约束能力,Agent 本质上就是一个”不可控的自动化脚本”。
MCP 这类协议的出现,是企业在为 Agent 补上治理、审计和合规这一层基础设施。
Q4. 【在整体 Agent 架构中,你如何定位 MCP?】
面试官为什么问这个问题:
这个问题用来区分”框架使用者”和”架构理解者”。
如果把 MCP 说成是 LangChain、LlamaIndex 的替代,基本可以判定理解偏差。
参考口语化回答:
我一直把 MCP 放在协议层和治理层,而不是 Agent 框架层。
LangChain、LangGraph 解决的是”Agent 怎么思考、怎么编排流程”,
MCP 解决的是”Agent 被允许接触什么世界”。
它更像是 API Gateway + 权限系统,而不是推理框架。
Q5. 【你如何理解”工具与上下文的标准化治理”这句话?】
面试官为什么问这个问题:
这是一个抽象问题,但非常关键。
能不能说清楚,直接反映候选人是否真正用 MCP 管过能力边界。
参考口语化回答:
标准化治理的核心不是格式统一,而是行为可预期。
我希望在 MCP 层就能明确:这个 Agent 能访问哪些资源、能做哪些操作、返回的数据边界在哪里。
这样即使模型输出有波动,工具层依然是”关在笼子里的”,不会因为一句 Prompt 就越权。
第二层:核心技术能力(How)【8 题】
Q6. 【在你理解中,MCP Server 和 Client 的职责边界是什么?】
面试官为什么问这个问题:
很多候选人会写 MCP Server Demo,但对职责划分并不清晰。
这个问题在考:你有没有在多 Agent、多工具场景下踩过坑。
参考口语化回答:
我一般把 MCP Server 当成能力与边界的拥有者,Client 只是使用者。
Server 决定”有哪些工具、参数怎么校验、权限怎么控制”,
Client 只负责在合适的时机发起请求。
如果把校验逻辑放到 Client,本质上就回到了”谁都能乱调”。
Q7. 【你如何理解 MCP 中 Tool、Resource、Prompt 这三类抽象?】
面试官为什么问这个问题:
这是在看候选人是否真正理解 MCP 的设计意图,而不是只会照字段填。
参考口语化回答:
在我看来,Tool 是”可执行能力”,Resource 是”可被读取或引用的上下文”,Prompt 更像是”受控引导”。
把它们拆开,本质上是为了防止 Agent 把读权限、写权限、执行权限混在一起。
这样在工程上就能明确限制:哪些是只读的,哪些是高风险操作。
Q8. 【MCP 是如何描述工具能力并限制其使用方式的?】
面试官为什么问这个问题:
这个问题不关心字段细节,而是关心设计思路。
参考口语化回答:
我关注的不是”描述得多详细”,而是”描述是否足够收敛”。
在 MCP 里,我会刻意把工具能力拆小,把参数范围写死,
宁可让 Agent 多走几步,也不让它一次调用做太多事。
这是我在生产环境里防误操作的基本原则。
Q9. 【MCP 在 Agent 的决策与执行链路中,处在什么位置?】
面试官为什么问这个问题:
用来判断候选人是否真正理解 MCP 对 Agent 行为的”约束点”。
参考口语化回答:
MCP 不参与 Agent 的思考,但它是执行前的最后一道闸门。
模型可以产生很多想法,但真正落到系统执行时,
只有符合 MCP 描述和权限的调用才能通过。
这也是为什么我说 MCP 是”工程上的刹车系统”。
Q10. 【多 MCP Server 共存时,你是如何做路由和选择的?】
面试官为什么问这个问题:
这是一个明显偏真实项目的问题,单 Demo 场景很难遇到。
参考口语化回答:
我不会让 Agent 自由选择 Server。
通常是按业务域提前做分组,比如数据分析类、操作类、外部接口类。
Agent 只能在当前任务允许的 MCP Server 集合里调用,
路由逻辑由平台或 Workflow 决定,而不是模型临场发挥。
Q11. 【MCP 接入 RAG 时,你最关注的设计点是什么?】
面试官为什么问这个问题:
很多人会回答”向量检索”,但这不是面试官想听的。
参考口语化回答:
我最关注的是:检索结果是不是可解释、可限制、可审计。
通过 MCP 接入 RAG,我会限制返回条数、文档范围,
避免 Agent 拿到”超出业务需要”的上下文。
否则 RAG 很容易变成另一种形式的数据泄露。
Q12. 【你如何防止 Agent 通过 MCP 滥用工具能力?】
面试官为什么问这个问题:
这是 MCP 方向的核心问题之一,几乎是必考题。
参考口语化回答:
核心思路只有一个:能力最小化 + 强校验。
工具拆小、参数校验、只读优先、危险操作强制二次确认。
我不指望模型”自觉”,而是默认它一定会尝试越界。
Q13. 【你如何看待 MCP 与 LangChain / LangGraph 的关系?】
面试官为什么问这个问题:
这是在考候选人的技术边界感,而不是站队。
参考口语化回答:
我一般把 LangGraph 当成”流程控制器”,
MCP 当成”能力白名单”。
Graph 决定什么时候调用,MCP 决定能不能调用。
两者分清,系统才可维护。
第三层:工程化与系统能力【8 题】
Q14. 【MCP Server 在生产环境中通常如何部署?】
面试官为什么问这个问题:
判断候选人是否真的上线过,而不是本地跑过。
参考口语化回答:
我一般会把 MCP Server 当成独立服务,用容器隔离。
不同风险等级的 Server 甚至会分不同节点或网络域。
核心原则是:不要让 Agent 的能力和业务系统跑在同一进程里。
Q15. 【你如何设计 MCP 的权限控制?】
面试官为什么问这个问题:
这是企业非常关心的问题。
参考口语化回答:
权限不是给 Agent 的,而是给Agent 身份 + 场景的。
同一个 Agent,在不同业务流程里能用的工具是不一样的。
权限策略我更倾向于写死在配置层,而不是 Prompt 里。
Q16. 【当 MCP 工具调用失败或超时时,你通常怎么处理?】
面试官为什么问这个问题:
这是典型的生产环境问题。
参考口语化回答:
我不会让失败直接暴露给模型。
通常会在 MCP 层做标准化错误返回,
区分”可重试”和”不可重试”,
避免 Agent 因为异常反复调用同一个危险工具。
Q17. 【你如何做 MCP 调用的日志与审计?】
面试官为什么问这个问题:
这直接关系到合规和事后追责。
参考口语化回答:
每一次 MCP 调用我都会记录:Agent、工具、参数摘要、结果摘要、时间。
不是为了 Debug,而是为了事后能还原决策链路。
在医疗和金融场景,这一点尤其重要。
Q18. 【MCP 在性能和安全之间你如何权衡?】
面试官为什么问这个问题:
考察工程取舍能力。
参考口语化回答:
我会优先保证安全和可控。
Agent 调用慢一点没关系,但越权一次代价非常高。
真正的优化,通常发生在调用频率和缓存策略上,而不是绕过校验。
Q19. 【MCP 如何与 API Gateway 或内网系统结合?】
面试官为什么问一个问题:
这是典型的企业架构问题。
参考口语化回答:
我不会让 MCP 直接暴露内网系统。
通常 MCP Server 后面再接 Gateway,由 Gateway 控制流量和鉴权。
MCP 更多是”语义和能力层”,不是安全边界的唯一防线。
Q20. 【你是否遇到过 MCP 设计不当导致的事故?】
面试官为什么问这个问题:
这是一个心理博弈问题,看你是否真正踩过坑。
参考口语化回答:
遇到过。
早期工具粒度太大,Agent 一次调用做了过多操作。
后来我们拆分工具、加二次确认,这个问题才真正解决。
这类坑不踩一次,很难意识到 MCP 的重要性。
Q21. 【你如何评估一个 MCP Server 是否”设计得足够安全”?】
面试官为什么问这个问题:
这是在考方法论,而不是经验数量。
参考口语化回答:
我会反向思考:如果模型输出完全失控,它能造成多大破坏。
如果答案是”影响有限、可追溯、可回滚”,
那我认为这个 MCP Server 是合格的。
第四层:真实项目与业务场景能力【6 题】
Q22. 【在医疗场景中,你如何用 MCP 控制 Agent 行为?】
面试官为什么问这个问题:
医疗是 MCP 价值最容易体现的场景之一。
参考口语化回答:
我会严格区分只读分析和操作建议。
Agent 只能通过 MCP 读取数据,不能直接下指令。
所有可能影响患者的动作,都必须有人确认。
Q23. 【在金融场景中,MCP 的核心价值体现在哪里?】
面试官为什么问这个问题:
考察行业理解。
参考口语化回答:
金融场景里,我更关注风险隔离。
Agent 只能做分析,不能执行交易。
MCP 是用来限制它只能”看”和”算”,而不是”动”。
Q24. 【企业内部系统众多时,你如何评估是否需要 MCP?】
面试官为什么问这个问题:
不是所有项目都需要 MCP。
参考口语化回答:
如果 Agent 只是做信息整理,我可能不会上 MCP。
但一旦涉及多个系统、跨权限、可写操作,
我会优先引入 MCP,把风险前移到协议层。
Q25. 【你如何用 MCP 降低 Agent 误操作风险?】
面试官为什么问这个问题:
这是 MCP 的核心应用价值之一。
参考口语化回答:
核心就是三点:
能力拆分、权限前置、关键操作人工确认。
MCP 让我不用依赖 Prompt 去”提醒模型别犯错”。
Q26. 【你是否遇到过业务方反对 MCP 的情况?如何说服?】
面试官为什么问这个问题:
考察沟通与认知能力。
参考口语化回答:
遇到过。
我通常不谈协议,而是谈责任划分和风险兜底。
当业务意识到 MCP 能保护他们,而不是限制他们,态度会很快转变。
Q27. 【什么情况下你会明确拒绝给 Agent 接 MCP?】
面试官为什么问这个问题:
这是一个反向判断题。
参考口语化回答:
当业务目标不清晰、权限边界没想明白时,我会拒绝。
因为 MCP 一旦接上,就意味着”能力被正式授权”,
这一步不能草率。
第五层:进阶与加分项(架构 / 视野)【3 题】
Q28. 【在多 Agent 系统中,MCP 的角色会发生变化吗?】
面试官为什么问这个问题:
区分单点使用者和平台设计者。
参考口语化回答:
会的。
在多 Agent 场景中,MCP 更像是公共基础设施。
它不再服务某一个 Agent,而是服务整个系统的能力边界。
Q29. 【你如何将 MCP 与 LangGraph 的 Workflow 结合?】
面试官为什么问这个问题:
考察工程组合能力。
参考口语化回答:
我会在 Graph 层控制流程,在 MCP 层控制权限。
Graph 决定”走不走这一步”,
MCP 决定”这一步能不能执行”。
两层分清,系统才可演进。
Q30. 【你如何判断一个候选人是否具备”平台级 MCP 能力”?】
面试官为什么问这个问题:
这是终极区分题。
参考口语化回答:
我会看他是否主动谈到:
能力边界、风险、审计、责任划分。
如果他关注的是”怎么多接工具”,那还停留在 Agent 阶段;
如果关注的是”怎么防止出事”,那才是平台思维。
第一层:基础认知(Why / What)【5 题】
Q31. 【你如何判断一个 Agent 项目”是否已经到了必须引入 MCP 的阶段”?】
面试官为什么问这个问题:
这个问题在考察候选人是否具备”不过度设计”的判断力。
真正用过 MCP 的人,往往知道它不是一开始就要上的。
参考口语化回答:
我一般看三件事:
第一,Agent 是否开始接入多个系统;
第二,是否出现”不同工具权限不一致”的情况;
第三,业务是否开始关心”出问题怎么追责”。
只要这三点出现两点,我就会考虑引入 MCP,而不是继续靠 Prompt 和代码约束。
Q32. 【为什么说 MCP 本质上是”制度化”的,而不是”技术炫技”?】
面试官为什么问这个问题:
这是一个认知深度问题,用来区分工程思维和工具崇拜。
参考口语化回答:
因为 MCP 的很多设计,其实都是在把”人类组织里的制度”搬进系统。
比如权限分级、职责边界、审计留痕,这些都不是模型能力,而是治理能力。
如果把 MCP 当成新技术,很快就会觉得”麻烦”;
但站在企业视角,它是在帮你提前兜底风险。
Q33. 【你如何向非技术管理者解释 MCP 的价值?】
面试官为什么问这个问题:
考察候选人是否具备跨角色沟通能力。
参考口语化回答:
我通常不会讲协议。
我会直接说:MCP 是用来保证”AI 不会越权操作,也能事后说清楚它做过什么”。
对管理者来说,这比”Agent 更聪明”重要得多。
Q34. 【MCP 是否会限制 Agent 的能力发挥?你怎么看?】
面试官为什么问这个问题:
这是一个典型的反对意见,面试官想看你的立场和逻辑。
参考口语化回答:
短期看会限制,但长期看是解放。
如果没有 MCP,很多高风险能力根本不敢给 Agent。
有了 MCP,能力虽然被约束,但至少可以”合法上线”。
Q35. 【如果没有 MCP,你认为 Agent 最容易在哪些地方失控?】
面试官为什么问这个问题:
这是在考察你是否真正理解”失控”的具体形态。
参考口语化回答:
最常见的是三种:
一是工具越权调用;
二是上下文拿得太多;
三是出问题没人知道发生了什么。
MCP 主要就是在补这三块。
第二层:核心技术能力(How)【8 题】
Q36. 【你在设计 MCP Tool 时,如何控制参数的”表达能力”?】
面试官为什么问这个问题:
这是一个细节问题,但非常能体现工程经验。
参考口语化回答:
我会刻意压缩参数自由度。
比如能枚举就不让自由输入,
能用 ID 就不让传原始文本。
参数越自由,模型越容易”发挥过头”。
Q37. 【你如何避免 MCP Tool 被模型”组合滥用”?】
面试官为什么问这个问题:
这是 Demo 里看不到,但生产环境常见的问题。
参考口语化回答:
我不会假设工具之间是”天然安全的”。
在 MCP 层,我会限制调用频率和调用顺序,
有些工具只能在特定状态下被调用,
而不是模型想怎么拼就怎么拼。
Q38. 【你如何设计 MCP Resource 的生命周期?】
面试官为什么问这个问题:
这是在考察你是否真正理解上下文治理。
参考口语化回答:
我会明确 Resource 是一次性的、会过期的。
不会让 Agent 长期持有敏感上下文。
否则 Resource 就会变成隐形缓存,风险很大。
Q39. 【MCP 是否应该感知 Agent 的”意图”?】
面试官为什么问这个问题:
这是一个设计边界问题。
参考口语化回答:
我个人倾向于:不感知。
MCP 只关心”你能不能调用这个能力”,
不关心”你为什么想调用”。
意图判断放在 Agent 或 Workflow 层更合适。
Q40. 【你如何看待 MCP Prompt 的作用?】
面试官为什么问这个问题:
很多人会忽视 MCP Prompt 的设计价值。
参考口语化回答:
我把 MCP Prompt 当成”安全提示模板”,
它不是用来教模型思考,而是告诉模型”边界在哪”。
真正的安全感来自 Tool 和权限,而不是 Prompt。
Q41. 【MCP 是否适合直接暴露给第三方 Agent?】
面试官为什么问这个问题:
这是一个非常现实的平台问题。
参考口语化回答:
原则上不适合。
我会在 MCP 外再包一层策略或代理,
不把核心能力直接暴露出去。
MCP 更适合内部治理,而不是公网协议。
Q42. 【你如何处理 MCP Server 的版本演进?】
面试官为什么问这个问题:
考察系统演进意识。
参考口语化回答:
我会尽量保持向后兼容。
工具一旦被 Agent 使用,就相当于 API 契约。
轻易破坏,只会让系统变得不可控。
Q43. 【你是否会让 MCP Server 动态生成 Tool?】
面试官为什么问这个问题:
这是一个高阶设计问题。
参考口语化回答:
一般不会。
动态生成 Tool 意味着边界在变化,
而 MCP 的价值恰恰在于”边界清晰”。
除非有非常强的审计和隔离能力,否则我会避免。
第三层:工程化与系统能力【8 题】
Q44. 【你如何限制 MCP Server 的资源消耗?】
面试官为什么问这个问题:
考察你是否考虑过资源滥用风险。
参考口语化回答:
我会在容器层和应用层双重限制。
包括 CPU、内存、并发数。
Agent 不应该因为一次异常推理拖垮后端系统。
Q45. 【你是否会为不同风险等级的工具拆分 MCP Server?】
面试官为什么问这个问题:
这是一个典型的架构决策点。
参考口语化回答:
会的。
高风险操作我会单独 Server,
甚至单独网络隔离。
这样即使出问题,影响面也有限。
Q46. 【你如何在 MCP 层实现”只读保证”?】
面试官为什么问这个问题:
这是金融、医疗场景的高频问题。
参考口语化回答:
只读不是靠文档声明,而是靠技术手段。
比如只暴露查询接口、
屏蔽写操作、
甚至在数据库层用只读账号。
MCP 只是第一道约束。
Q47. 【MCP 调用是否应该支持人工审批?】
面试官为什么问这个问题:
考察你是否理解人机协同。
参考口语化回答:
在高风险场景,我认为是必须的。
MCP 可以把调用请求标准化,
人工只需要做”是否放行”的决策,
而不是理解复杂上下文。
Q48. 【你如何看待 MCP 与审计系统的关系?】
面试官为什么问这个问题:
这是平台级思维问题。
参考口语化回答:
MCP 本身不等于审计系统,
但它是审计系统最好的数据来源。
如果没有 MCP,很多行为根本无法结构化记录。
Q49. 【MCP 是否会成为系统瓶颈?你如何应对?】
面试官为什么问这个问题:
考察候选人是否具备性能意识。
参考口语化回答:
如果设计得当,一般不会。
真正的瓶颈通常在后端系统。
MCP 层我更关注稳定和限流,而不是极致性能。
Q50. 【你是否会在 MCP 层做缓存?】
面试官为什么问这个问题:
这是一个容易踩坑的问题。
参考口语化回答:
会,但非常谨慎。
只缓存低风险、只读结果。
绝不会缓存涉及权限判断或状态变化的结果。
Q51. 【你如何测试 MCP Server 的安全性?】
面试官为什么问这个问题:
考察你是否有”对抗性思维”。
参考口语化回答:
我会假设模型是恶意的。
尝试越权参数、异常顺序调用、频繁重试。
如果这些都被挡住,我才会放心上线。
第四层:真实项目与业务场景能力【6 题】
Q52. 【在政务或公共服务场景中,MCP 的关注点是什么?】
面试官为什么问这个问题:
考察行业适配能力。
参考口语化回答:
我会重点关注可追溯和责任边界。
Agent 只能做辅助,不能直接决策。
MCP 的作用是把”辅助”和”决策”严格隔开。
Q53. 【在数据敏感行业,MCP 如何防止”无意泄露”?】
面试官为什么问这个问题:
这是很多事故的真实来源。
参考口语化回答:
通过限制 Resource 范围和返回粒度。
不给全量数据,只给必要摘要。
MCP 让这种限制变成制度,而不是约定。
Q54. 【你是否遇到过业务要求”给 Agent 更大权限”?如何应对?】
面试官为什么问这个问题:
这是一个真实的博弈场景。
参考口语化回答:
我会要求业务明确承担风险。
如果权限放开,就必须接受更严格审计和审批。
很多时候,业务会重新权衡。
Q55. 【你如何评估 MCP 接入后的收益?】
面试官为什么问这个问题:
考察你是否有结果导向。
参考口语化回答:
我不会只看效率提升,
更看事故减少、权限争议减少。
这些”没发生的事故”,才是 MCP 的真实收益。
Q56. 【你是否会为不同部门定制 MCP 能力集?】
面试官为什么问这个问题:
考察平台化意识。
参考口语化回答:
会。
不同部门的风险承受能力不同。
MCP 能力集本身就是一种”组织结构的技术映射”。
Q57. 【在多租户场景下,MCP 如何避免相互影响?】
面试官为什么问这个问题:
这是平台级系统常见问题。
参考口语化回答:
核心是隔离。
Server、权限、日志都要隔离。
不能只靠 Agent ID 来区分,这是不够的。
第五层:进阶与加分项(架构 / 视野)【3 题】
Q58. 【你认为 MCP 是否会成为 Agent 平台的”标配能力”?】
面试官为什么问这个问题:
考察行业判断力。
参考口语化回答:
我认为会。
不是 MCP 这个名字,而是它代表的治理思想。
只要 Agent 进入企业,类似机制一定会出现。
Q59. 【如果让你从零设计一个 MCP 平台,你最先做什么?】
面试官为什么问这个问题:
考察架构优先级判断。
参考口语化回答:
我会先做权限和审计,而不是工具数量。
没有治理,工具越多风险越大。
这是我踩过坑后的结论。
Q60. 【你理想中的 MCP + Agent 平台最终形态是什么?】
面试官为什么问问题:
这是终极视野题。
参考口语化回答:
Agent 专注思考和协作,
MCP 负责边界和规则,
平台负责治理和演进。
每一层各司其职,系统才能长期跑下去。