Model Context Protocol (MCP) cung cấp một khung bảo mật để các ứng dụng tương tác với hệ thống tệp thông qua các thao tác sandbox. Hướng dẫn này giải thích cách MCP hoạt động, các tính năng chính, và trình bày một ví dụ thực tế sử dụng MCP Filesystem Server.

Model Context Protocol (MCP) là gì?

Model Context Protocol (MCP) là một khung bảo mật mạnh mẽ được thiết kế để cho phép tương tác có kiểm soát giữa các ứng dụng (như trợ lý AI) và các hệ thống bên ngoài, đặc biệt là hệ thống tệp. Hoạt động như một cầu nối an toàn, MCP cho phép các công cụ thực hiện các thao tác như đọc, ghi hoặc tìm kiếm tệp trong một môi trường sandbox dựa trên quyền.

Giao thức này đặc biệt giá trị cho các nhà phát triển muốn tích hợp thao tác hệ thống tệp vào các ứng dụng như VS Code, Claude Desktop, hoặc các môi trường phát triển khác trong khi vẫn duy trì ranh giới bảo mật mạnh mẽ.

Các tính năng chính của MCP

• Thao tác sandbox: Mọi hoạt động đều diễn ra trong các thư mục được xác định trước, bảo vệ các khu vực nhạy cảm trên hệ thống tệp của bạn.
• API chuẩn hóa: Một bộ công cụ nhất quán (read_file, write_file, v.v.) có thể truy cập qua một giao diện thống nhất.
• Thiết kế ưu tiên bảo mật: Các thao tác bị giới hạn trong các thư mục cho phép cùng các tính năng như chỉ gắn kết đọc.
• Tích hợp linh hoạt: Tương thích với nhiều môi trường như Docker, NPX, VS Code, và Claude Desktop.

Giải thích về MCP Filesystem Server

MCP Filesystem Server là một triển khai Node.js được xây dựng đặc biệt để thao tác hệ thống tệp trong khuôn khổ Model Context Protocol. Nó cung cấp một bộ công cụ toàn diện để tương tác với tệp và thư mục một cách kiểm soát.

Các công cụ có trong MCP Filesystem Server

Đây là tổng quan về các chức năng cốt lõi:

• read_file: Đọc nội dung tệp sử dụng mã hóa UTF-8
• read_multiple_files: Xử lý nhiều tệp cùng lúc, tiếp tục kể cả khi một số tệp bị lỗi
• write_file: Tạo mới hoặc ghi đè tệp hiện có
• edit_file: Cho phép chỉnh sửa chọn lọc theo mẫu, bao gồm dry run và xuất diff kiểu Git
• create_directory: Tạo thư mục với tùy chọn tạo thư mục cha
• list_directory: Hiển thị nội dung thư mục với tiền tố rõ ràng [FILE] hoặc [DIR]
• move_file: Di chuyển hoặc đổi tên tệp và thư mục
• search_files: Tìm kiếm đệ quy với hỗ trợ mẫu loại trừ
• get_file_info: Lấy metadata như kích thước, thời gian tạo, và quyền
• list_allowed_directories: Hiển thị tất cả thư mục có thể truy cập để minh bạch

Tất cả các công cụ này có thể truy cập qua tài nguyên file://system, đóng vai trò là giao diện cho thao tác hệ thống tệp MCP.

Sử dụng MCP với Claude

Để minh họa MCP hoạt động thực tế, chúng ta cùng xem qua một ví dụ sử dụng MCP Filesystem Server với Claude—một trợ lý AI—để thực hiện các thao tác hệ thống tệp phổ biến.

Bước 1: Liệt kê các thư mục được phép

Bước đầu tiên là xác định các thư mục mà Claude có thể truy cập. Chúng tôi sử dụng công cụ list_allowed_directories, kết quả cho thấy hai vị trí được phép:

• /Users/arshia/Desktop
• /Users/arshia/Downloads

Điều này xác nhận các thao tác của Claude chỉ bị giới hạn trong hai thư mục này, các phần còn lại của hệ thống tệp được bảo vệ.

Bước 2: Khám phá nội dung thư mục

Tiếp theo, chúng tôi dùng công cụ list_directory để xem có tệp nào trong các thư mục đó. Kết quả như sau:

Đối với /Users/arshia/Desktop:

• [FILE] DS_Store
• [FILE] localized

Đối với /Users/arshia/Downloads:

• [FILE] DS_Store
• [FILE] localized
• [DIR] Visual Studio Code.app
• [FILE] shrek.txt
• [FILE] claudes diary.pages
• [FILE] diary.pdf

Điều này tiết lộ có một tệp tên shrek.txt trong thư mục Downloads, cùng với các tệp khác và một thư mục cho Visual Studio Code.

Ảnh chụp màn hình hiển thị các yêu cầu và phản hồi list_directory cho các thư mục Desktop và Downloads

Bước 3: Thử đọc một tệp

Sau khi xác định shrek.txt, chúng tôi thử đọc nội dung của nó bằng công cụ read_file. Ban đầu chỉ cung cấp tên tệp shrek.txt, nghĩ rằng công cụ sẽ tự tìm trong các thư mục cho phép.

Kết quả lỗi như sau:
“Access denied – path outside allowed directories: /shrek.txt not in /Users/arshia/Desktop, /Users/arshia/Downloads.”
Lỗi này xuất hiện vì MCP yêu cầu đường dẫn tệp đầy đủ để đảm bảo an toàn.

Ảnh 2: Ảnh chụp màn hình thể hiện việc đọc tệp thất bại cùng thông báo lỗi

Bước 4: Đọc tệp thành công

Sau khi điều chỉnh, chúng tôi cung cấp đường dẫn đầy đủ /Users/arshia/Downloads/shrek.txt cho công cụ read_file. Lần này thao tác thành công, trả về nội dung tệp:

Request
{
  `path`: `/Users/arshia/Downloads/shrek.txt`
}
Response

Can you see what im writing here? If you do check this out: 

⢀⡴⠑⡄⠀⠀⠀⠀⠀⠀⠀⣀⣀⣤⣤⣤⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠸⡇⠀⠿⡀⠀⠀⠀⣀⡴⢿⣿⣿⣿⣿⣿⣿⣿⣷⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠑⢄⣠⠾⠁⣀⣄⡈⠙⣿⣿⣿⣿⣿⣿⣿⣿⣆⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⢀⡀⠁⠀⠀⠈⠙⠛⠂⠈⣿⣿⣿⣿⣿⠿⡿⢿⣆⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⢀⡾⣁⣀⠀⠴⠂⠙⣗⡀⠀⢻⣿⣿⠭⢤⣴⣦⣤⣹⠀⠀⠀⢀⢴⣶⣆ 
⠀⠀⢀⣾⣿⣿⣿⣷⣮⣽⣾⣿⣥⣴⣿⣿⡿⢂⠔⢚⡿⢿⣿⣦⣴⣾⠁⠸⣼⡿ 
⠀⢀⡞⠁⠙⠻⠿⠟⠉⠀⠛⢹⣿⣿⣿⣿⣿⣌⢤⣼⣿⣾⣿⡟⠉⠀⠀⠀⠀⠀ 
⠀⣾⣷⣶⠇⠀⠀⣤⣄⣀⡀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠉⠈⠉⠀⠀⢦⡈⢻⣿⣿⣿⣶⣶⣶⣶⣤⣽⡹⣿⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⠉⠲⣽⡻⢿⣿⣿⣿⣿⣿⣿⣷⣜⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⢸⣿⣿⣷⣶⣮⣭⣽⣿⣿⣿⣿⣿⣿⣿⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⣀⣀⣈⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠇⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠃⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠹⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⠀⠉⠛⠻⠿⠿⠿⠿⠛⠉

Shrek

• Một câu hỏi kiểm tra người đọc có nhìn thấy nội dung hay không
• Hình ASCII art mô tả khuôn mặt Shrek
• Dòng chữ “Shrek” ở cuối

Thao tác thành công xác nhận MCP có thể đọc tệp khi được cung cấp đúng đường dẫn trong thư mục được phép.

Bài học rút ra từ ví dụ

Bài thực hành này làm nổi bật một số khía cạnh quan trọng khi dùng MCP:

1. Cần đường dẫn đầy đủ: Các công cụ như read_file yêu cầu đường dẫn tệp tuyệt đối, không chỉ tên tệp.
2. Sandbox hiệu quả: Việc thất bại ban đầu cho thấy mô hình bảo mật của MCP hoạt động đúng như thiết kế.
3. Khám phá tuần tự là tốt nhất: Sử dụng công cụ liệt kê thư mục giúp điều hướng hệ thống tệp dễ dàng hơn.

Phương pháp hay nhất khi triển khai MCP

Dựa trên kinh nghiệm và tính năng của MCP Filesystem Server, chúng tôi khuyến nghị các thực hành sau:

• Luôn kiểm tra quyền trước: Sử dụng list_allowed_directories trước khi thao tác.
• Dùng đường dẫn tệp đầy đủ: Cung cấp đường dẫn tuyệt đối để tránh lỗi và mơ hồ.
• Kiểm thử chỉnh sửa bằng Dry Run: Khi dùng edit_file, hãy xem trước thay đổi với dryRun: true trước khi áp dụng thật.
• Lên kế hoạch cho kết quả thành phần: Công cụ như read_multiple_files tiếp tục kể cả khi có tệp thất bại.
• Thực thi quyền tối thiểu: Khi cấu hình server, dùng gắn kết chỉ đọc cho những thư mục không cần chỉnh sửa.

Kết luận

Model Context Protocol (MCP) và Filesystem Server của nó mang lại một phương pháp mạnh mẽ, an toàn để thao tác hệ thống tệp trong môi trường kiểm soát. Ví dụ với Claude cho thấy cách dùng thực tế các công cụ như list_directory và read_file, đồng thời nhấn mạnh nguyên tắc quan trọng như dùng đường dẫn đầy đủ và hiểu ranh giới quyền truy cập.

Bằng cách tuân thủ các phương pháp hay nhất đã trình bày, bạn có thể tận dụng MCP để tích hợp an toàn thao tác hệ thống tệp vào ứng dụng hoặc quy trình phát triển của mình.

Với các nhà phát triển muốn triển khai MCP vào dự án, tài liệu chính thức trên GitHub cung cấp hướng dẫn chi tiết và đầy đủ về triển khai.