阿凱📝 主編觀點 · 技術趨勢解讀 — 技術上發生什麼,為什麼重要,背後的原理是什麼
20 萬台 MCP 伺服器有漏洞,Anthropic 說這是功能
Anthropic 推動的 MCP(Model Context Protocol)現在是 AI Agent 圈的標配——OpenAI、Google DeepMind 都跟進採用了。但上週一個發現讓整個社群愣住:大約 20 萬個 MCP 伺服器存在命令執行漏洞,也就是說,攻擊者理論上可以透過這些伺服器,在用戶機器上執行任意指令。
更讓人傻眼的是 Anthropic 的回應。他們說,這不是 bug,這是 feature。
這句話乍聽之下很扯,但其實有一定道理。MCP 的設計前提是:AI Agent 需要能夠操作外部工具,包括跑指令、呼叫 API、讀寫檔案。你如果把這個能力封死,Agent 就什麼都做不了。問題是,「能力」跟「安全邊界」之間的那道牆,MCP 現在幾乎是留給開發者自己去蓋的。
這讓我想到早年的 USB 標準——USB 本來就設計成「插上去就能執行」,結果 Rubber Ducky 這種偽裝成鍵盤的攻擊工具讓整個模型被玩爛了。MCP 現在的處境有點像這樣:協議本身的設計給了工具最大的自由度,但安全這件事沒有人在協議層面兜底。
現實情況是,大多數接 MCP 的開發者根本不是資安背景出身。他們想的是「怎麼讓 Agent 幫我跑 shell 指令」,不是「這個 shell 指令有沒有注入風險」。20 萬台暴露的伺服器,很大一部分應該是這樣來的——不是惡意的,是沒想到的。
阿里巴巴那篇 Metis Agent 研究,其實點出了另一個方向:讓 AI 自己學會判斷「何時該動工具、何時不該」。他們的 HDPO 技術把冗餘工具呼叫從 98% 壓到 2%,副作用是降低了攻擊面。但這條路需要訓練基礎,不是每個開發者都有資源做。
MCP 的生態正在以驚人速度擴張,Anthropic 顯然選擇先跑再說。只是跑得夠快的時候,跌倒也會跌得很重。
