Trong chưa đầy hai năm kể từ khi ra mắt, Model Context Protocol (MCP) đã chuyển mình từ một sáng kiến nội bộ của Anthropic thành một tiêu chuẩn công nghiệp mở. Hiện được quản lý bởi Agentic AI Foundation thuộc Linux Foundation, MCP đã và đang định hình lại cách chúng ta thiết kế hệ thống phần mềm. Nếu TCP/IP kết nối các máy tính, REST kết nối các microservices, thì giao thức MCP sinh ra để kết nối trực tiếp các LLM (Large Language Models) và AI Agents với dữ liệu và công cụ của thế giới thực.

Nhưng trong sự hào hứng của việc áp dụng Agentic Systems, nhiều tổ chức đang mắc phải một sai lầm kiến trúc chết người: Họ đối xử với MCP như một REST API truyền thống.

Bài viết này đóng vai trò là “la bàn” chiến lược cho các Tech Lead, System Architect và Engineering Manager trước khi quyết định đập bỏ hệ thống cũ hoặc bắt tay vào triển khai hàng loạt MCP Server trong tổ chức của mình.

1. MCP Là Control Plane, Không Phải Data Plane

Điều đầu tiên và quan trọng nhất cần nhận thức: MCP sinh ra không phải để truyền tải dữ liệu tốc độ cao.

Khi một AI Agent sử dụng MCP để gọi query_database hay fetch_logs, nó không làm việc đó để stream hàng gigabyte dữ liệu cho người dùng cuối hiển thị trên giao diện. Nó lấy dữ liệu đó để làm context (ngữ cảnh) cho việc suy luận (reasoning) và đưa ra quyết định (decision-making) trong não bộ của LLM.

  • Data Plane (REST, gRPC, GraphQL): Được thiết kế tối ưu cho throughput cao, low-latency, payloads nhị phân hoặc structured data có dung lượng lớn. Phục vụ cho giao tiếp Machine-to-Machine (M2M) hoặc Client-to-Server truyền thống.
  • Control Plane (MCP): Được thiết kế tối ưu cho sự khám phá (discoverability), tính tự thân mô tả (semantics), và điều phối (orchestration). Nó phục vụ riêng biệt cho giao tiếp AI-to-Machine, nơi mà máy móc phải giải thích cho AI biết “tôi có thể làm gì” và “làm thế nào để ra lệnh cho tôi”.

Trade-offs: Khi Nào KHÔNG Nên Dùng MCP?

Việc lạm dụng MCP đang dẫn đến nhiều “technical debt” (nợ kỹ thuật) không đáng có. Đừng biến mọi dịch vụ (service) hiện có thành MCP Server. Theo dõi AI Driven Engineer Mindset, kỹ sư giỏi là người biết chọn đúng tool cho đúng việc.

  • Đừng dùng MCP cho user-facing APIs: Nếu một frontend app cần lấy danh sách sản phẩm (product catalog) để render giao diện cho người dùng click, hãy dùng REST/GraphQL. LLM không có lý do gì phải đứng giữa làm proxy cho việc hiển thị tĩnh.
  • Đừng dùng MCP cho high-throughput transactions: Một hệ thống trading tự động (HFT) thực hiện 10,000 requests/giây cần sử dụng gRPC hoặc WebSockets, không phải là chuẩn JSON-RPC qua MCP. Overhead của việc giải thích schema cho AI trong mỗi lượt sẽ làm sập hệ thống.
  • Đừng “bọc” (wrapper) REST API 1:1 sang MCP: Một agent không cần (và không nên) gọi 3 hàm create_user(), assign_role(), send_welcome_email() liên tiếp. Nó cần một MCP tool mang tính “outcome-oriented” (định hướng kết quả) như onboard_new_employee(). Việc gọi quá nhiều tool nhỏ nhặt sẽ ngốn sạch Context Window của mô hình (thường đắt đỏ) và tăng nguy cơ sinh ra Hallucination (ảo giác).

2. N×M Connectivity Problem và Tại Sao Cần Gateway

Trong giai đoạn thử nghiệm (Proof of Concept - PoC), kiến trúc MCP thường rất đơn giản và “vibe-coding” thân thiện: Một AI Agent kết nối trực tiếp với một MCP Server thông qua cơ chế subprocess (như stdio).

Nhưng trên môi trường Production Enterprise, bài toán sẽ lập tức phình to thành thảm họa mạng lưới N×M Connectivity Problem:

  • Bạn có N AI Agents (Customer Support Bot, Code Review Agent, Data Analyst Agent…)
  • Bạn có M MCP Servers (Jira Server, GitHub Server, Internal Database Server, Salesforce Server…)

Nếu mỗi Agent phải tự duy trì kết nối trực tiếp với từng Server, việc quản lý định danh (Identity), cấp quyền (AuthZ), rate limiting, và audit logs sẽ trở thành một mớ bòng bong không thể gỡ rối. Bất cứ một thay đổi nhỏ nào về IP hay API Key đều cần deploy lại toàn bộ đội quân Agent.

Đó là lý do MCP Gateway trở thành thành phần kiến trúc hạ tầng bắt buộc. Gateway đóng vai trò là reverse proxy AI-aware, đứng giữa mọi giao tiếp Agent ↔ Server. Nó cho phép tổ chức tập trung hóa:

  • Policy-as-Code: Thực thi các chính sách bảo mật tập trung.
  • Security Check: Chặn các request mang dấu hiệu Prompt Injection từ trứng nước.
  • Compliance: Ghi nhận toàn bộ hành vi của Agent vào SIEM để phục vụ mục đích kiểm toán (compliance) theo các tiêu chuẩn khắc nghiệt.

3. “Vibe Coding” Gặp Gỡ Production Reality

Sự bùng nổ của MCP đi kèm với một bóng ma bảo mật mới. Khi bạn cho phép một Agent tự động khám phá và sử dụng các tool, bạn đang mở ra một bề mặt tấn công (attack surface) chưa từng có. Như chúng tôi từng đề cập trong cuốn AI Driven Playbook, không có rào chắn bảo mật nào là dư thừa khi giao quyền cho AI.

Như chúng ta sẽ phân tích ở Phần 5 qua lăng kính OWASP MCP Top 10 (Beta), các kỹ thuật tấn công đã thay đổi:

  • Tool Poisoning: Kẻ tấn công có thể thay đổi description của một tool bên trong database để lừa Agent thực thi mã độc.
  • Confused Deputy: Agent bị lợi dụng để dùng đặc quyền của nó thực thi một action phá hoại trên một backend mà người dùng cuối không có quyền truy cập.

Để chống lại điều này, các chuẩn mực bảo mật mới đang được thiết lập. OAuth 2.1 với PKCE và hệ thống Workload Identity (như SPIFFE/SPIRE) không còn là các tính năng “nice-to-have” mà là nền tảng sống còn.

4. Câu Hỏi Thường Gặp (FAQ)

Q: Model Context Protocol (MCP) có thay thế REST API không?
A: Không. REST là ngôn ngữ Machine-to-Machine. MCP là ngôn ngữ AI-to-Machine. Các công ty vẫn sẽ duy trì REST API cho frontend client, và xây dựng MCP Server như một lớp bao bọc (wrapper) mang tính ngữ nghĩa để cung cấp Context cho AI.

Q: Những nền tảng AI nào hiện đang hỗ trợ chuẩn MCP?
A: Khởi nguồn từ Anthropic, tính đến 2026, chuẩn MCP đã được hỗ trợ rộng rãi bởi hầu hết các orchestrator framework lớn như LangChain, LlamaIndex, và các nền tảng của OpenAI, Google Cloud.

Q: Tôi có nhất thiết phải viết MCP Server bằng Golang hay Rust không?
A: Không bắt buộc nhưng được khuyến nghị cho Enterprise. Python hay TypeScript rất tốt để viết các MCP PoC. Tuy nhiên, khi hệ thống yêu cầu độ trễ thấp, concurrency cao để xử lý vạn request từ Agent Gateway, Go và Rust đem lại footprint nhỏ và hiệu năng ổn định hơn.

Lời Kết

Triển khai MCP lên production Enterprise là quá trình kiến tạo một hạ tầng điều phối AI (AI Orchestration Infrastructure) hoàn chỉnh, đòi hỏi sự nghiêm túc tuyệt đối về mặt System Design, Security và Observability.

Trong các bài tiếp theo, chúng ta sẽ bắt đầu xắn tay áo vào code thực tế.

Next up: Phần 1: Protocol Fundamentals & Transport Evolution