安全与信任仅限订阅用户 Jul 13, 2026 at 02:188加入收藏

第一份专门针对MCP安全的报告指出,其债务增长速度超过了生态系统本身的增长速度。
第一份专门的报告 - Canopii 的「2026 年 MCP 安全状况」- 列举了 Model Context Protocol 生态系统的漏洞和不良实践。信息明确:安全性未能跟上采用速度。
2026 年 7 月 12 日发布(Canopii PDF),该报告分析了公共和私有的 MCP 服务器,并识别出几类弱点:暴露的 token/凭证、服务器端缺乏来源控制、通过工具描述注入提示、未固定的依赖项,以及对范围的宽松管理。
MCP 在 2025-2026 年爆炸式增长,因为它解决了一个真实的问题:在不编写 N 个集成的情况下,将 LLM 连接到工具上。但采用速度绕过了卫生标准。三种模式凸显出来:
该报告统计(需由第三方审计确认),~40% 的公共 MCP 服务器在其存储库或默认配置中至少暴露一个秘密密钥,~65% 未在调用上实施来源检查。它提出了一个 12 点清单:严格固定版本、最小范围、工具描述签名、按需日志记录和每服务器沙箱。
对于部署代理的 CTO:将 MCP 视为未经审计的第三方代码。每服务器沙箱、严格范围、手动审查工具描述、监控代理输出。对于投资者:MCP 安全层成为一个真实的市场 - 预计在未来 6 个月内会有 2-3 家专业初创公司融资。
Anthropic 或 OpenAI 发布的加固 MCP 配置文件,一个流行 MCP 服务器上的公开 CVE,以及第一家 MCP 安全初创公司被成立的网络安全公司收购。
本文由人工智能撰写,并经人工编辑审核。
La sécurité doit suivre l'innovation, mais sans tout bloquer. Comment faire ?
Comment concilier innovation et sécurité dans MCP ? La dette de sécurité grandit trop vite.
L'innovation est importante, mais la sécurité ne doit pas être négligée. Comment trouver un équilibre ?
La dette de sécurité qui s'accumule dans MCP est inquiétante. Il faut absolument renforcer les mesures de sécurité pour suivre l'évolution rapide de la technologie.
La sécurité est vraiment négligée au profit des nouveautés. Comment faire évoluer les mentalités ?
Intéressant, mais cette dette de sécurité ne serait-elle pas inévitable avec une techno qui évolue si vite ?
L'évolution rapide de MCP est un vrai problème, mais on a l'impression que la sécurité passe après les fonctionnalités. Comment faire pour que ça change ?
La sécurité des MCP est-elle vraiment prise au sérieux ?