从「新标准」到「默认支持」
MCP 自发布以来,把 AI 应用接工具、接数据的方式做了标准化,让「一次封装、多个应用复用」成为可能。到现在,主流编程助手和不少平台把 MCP 客户端能力当成标配,官方和社区的 Server 覆盖了文件、代码托管、数据库、检索、浏览器等常见场景。对开发者,这意味着给 AI 助手加能力的门槛显著降低。
热起来之后,安全被顶上来
采用面扩大,风险面也跟着扩大。本周开发者社区讨论最多的,是第三方 MCP Server 的两类隐患:一是过度授权——Server 拿到的权限就是 AI 的权限,配置过宽一旦被模型误用就是真实破坏;二是提示注入——AI 读到的外部数据、甚至 Server 的工具描述里,都可能藏着诱导模型的指令。结合上周 agent 参与真实攻击的事件,「给 AI 装插件要不要先审一遍」成了绕不开的问题。
务实的做法
共识大致是把 MCP Server 当第三方插件谨慎对待:优先可信来源、最小授权、写/删/发送类操作保留人工确认、敏感数据尽量走本地、并保留可审计的调用日志。能力红利要吃,但别把权限和信任一起交出去。生态越热,这条底线越重要。
via: 综合开发者社区讨论与官方文档