MCP 在一年内达到了9700万下载量。安全研究人员称它尚未准备好。
Source: Dev.to
请提供您希望翻译的正文内容,我将把它翻译成简体中文并保持原有的格式、Markdown 语法以及技术术语不变。
纸面上的数字令人惊叹
OpenAI、Google、Microsoft、AWS——在 MCP 推出后的几个月内全部采用了它。生态系统现在已包含超过 10 000 台已发布的服务器,涵盖从开发者工具到《财富》500 强部署的所有领域。波士顿咨询集团称其为“一种看似简单却影响深远的理念”。
分析师估计,MCP 生态系统将在 2025 年底从 12 亿美元增长至 45 亿美元,部分预测认为 90 % 的组织将运行 MCP 集成。Block、彭博、亚马逊以及数百家企业客户已经在生产环境中部署了它。
安全排在第二
在 2025 年 4 月,Palo Alto Networks 的安全研究员识别出五个关键攻击向量:
- Prompt injection
- Tool shadowing
- Privilege escalation
- Data exfiltration
- “Rug pull” 攻击 – MCP 工具可以在安装后悄悄更改其定义,将周一看似良性的工具在周五变成窃取 API 密钥的渠道。
官方的 MCP 规范中写道,SHOULD “始终有人在环路中”。Strobes 的安全专家直言不讳:把这个 SHOULD 当作 MUST 来执行。
2025 年 6 月出现了 CVE‑2025‑6514,这是一项关键漏洞(CVSS 9.6),影响 mcp-remote——一个拥有超过 437 000 次下载的流行 OAuth 代理。该缺陷使每个未打补丁的安装都成为供应链后门,攻击者只需将 LLM 主机指向恶意端点,即可执行任意命令、窃取云凭证并获取 SSH 密钥。
Red Hat 的分析指出,MCP 服务器会存储 Gmail、Google Drive 以及企业资源等服务的 OAuth 令牌。攻破一台服务器,就等于获得了所有资源的钥匙。传统的账户泄露会触发通知;而通过 MCP 窃取的令牌往往看起来像合法的 API 访问。
12月转折改变游戏规则
2025年12月9日,Anthropic 将 MCP 捐赠给新成立的 Agentic AI Foundation(AAIF),该基金会隶属于 Linux 基金会。OpenAI、Google、Microsoft、AWS、Block、Bloomberg 和 Cloudflare 作为创始成员签约加入。
企业更倾向于采用具有透明治理的开放标准,而不是由单一供应商控制的协议。Linux 基金会执行董事 Jim Zemlin 如是总结:
“将这些项目聚合到 AAIF 下,确保它们能够在只有开放治理才能提供的透明度和稳定性中成长。”
该规范正在成熟——2025年6月的更新采纳了 OAuth 2.1 原则,11月的发布则新增了用于长时间运行任务的原语。不过,正如一位研究人员警告的那样:“如今网络上数百个 MCP 服务器配置错误,正在不必要地让 AI 应用用户面临网络攻击风险。”
这对您的 AI 战略意味着什么
MCP 采纳已不再是可选项。BCG 发现,如果没有 MCP,随着 AI 代理在组织内部的扩散,集成复杂度会呈二次方增长;而有了 MCP,则呈线性增长——这是一项显著的运营优势。
问题不在于是否采用,而在于 如何 在不产生新攻击面 的前提下实施。
三个值得考虑的事项
- 在部署前审计每台 MCP 服务器并实施白名单。 社区构建的服务器在质量和安全姿态上差异极大。
- 不要信任会静默更改的工具定义。 任何 MCP 客户端都应在服务器定义演变时提醒用户;如果你的客户端没有此功能,那就是一个红色警示。
- 将人‑在‑回路的指导视为强制性,而非可选。 协议的灵活性正是没有明确同意机制时自主代理行为变得危险的根源。
MCP 代表了 AI 系统连接企业工具方式的根本性转变。其增长轨迹不可否认,但采纳速度与安全成熟度之间的差距应让每位技术领袖停下来思考。
贵组织在 MCP 安全方面的做法是——在采纳策略中构建防护措施,还是在追赶的路上?
Sources
- Linux基金会AAIF公告:
- MCP官方博客 – 一周年纪念:
- Palo Alto Networks MCP安全研究:
- 红帽安全分析:
- eSentire CISO安全指南: