MCP协议被曝严重设计缺陷：20万台AI服务器面临攻击风险

MCP协议, Anthropic, AI安全, 安全漏洞 — 21 4月 2026

说实话，早上看到这个消息的时候，我第一反应是——又有人把client side的代码暴露叫成「泄漏」了？但仔细看完OX Security的报告，这次还真不是媒体炒作。

事情的来龙去脉

4月15日，网络安全公司OX Security发布了一份报告，直指Anthropic的MCP（Model Context Protocol）协议存在架构层面的设计缺陷。不是代码笔误，不是实现bug，而是协议本身的设计决策问题。

影响范围有多广？超过20万台AI服务器。波及Anthropic官方支持的11种语言SDK：Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。基本上你用MCP的地方，都可能中招。

MCP协议的核心设计是让AI Agent能够安全地调用外部工具。但问题就出在这个「安全」上——协议允许服务器向客户端发送任意JavaScript代码，而这些代码会在客户端执行。

听起来是不是很熟悉？对，就是XSS攻击的经典套路。只不过这次发生在AI工具和外部服务之间。

攻击场景是这样的：

OX Security的原话是：「这不是代码笔误，而是架构层面的设计决策。」

4月19日，Anthropic技术工程师David Soria Parra在AI Engineer峰会上做了回应。他承认MCP确实还有改进空间，但也强调2026年的重点是「Agent的连接能力」。

社区的反馈分两派：

我个人的看法是——这事儿得两面看。MCP确实在设计上给了服务器太多信任，但把所有责任推给协议也不公平。就像HTTP协议允许传输任意内容，但你说「HTTP不安全因为可以传病毒」——这逻辑不通。

OX Security给出了几条建议，我觉得每条都说到点子上了：

第一，不要把AI工具暴露在公网。 这是最基本的。如果你的Cursor或Claude Code能被公网访问到，那不仅仅是MCP的问题，整个攻击面都太大了。

第二，把MCP输入当成不可信数据。 永远假设服务器发过来的东西是恶意的，做好输入验证和过滤。

第三，启用沙箱环境。 运行MCP服务时一定要有沙箱隔离，限制权限。就算代码被执行了，也翻不出什么浪花。

第四，及时更新。 这类安全问题通常会被快速修复，保持软件最新是最省事的防护手段。

这件事其实暴露了一个行业通病：我们在快速迭代AI能力的同时，安全意识没有跟上。MCP协议去年11月才发布，短短几个月就大规模应用，但安全审计明显滞后。

不是批评Anthropic——他们在推动Agent生态建设上确实做了很多工作。但作为开发者，我们自己也要有风险意识。不能因为是「官方协议」就盲目信任，更不能为了功能便利牺牲安全底线。

说白了，AI Agent时代，攻击面只会越来越大。今天的MCP问题，明天可能出在别的协议上。保持警惕，做好防护，这才是正经事。

你对这次MCP安全事件怎么看？是协议设计的问题，还是实现层面的疏忽？欢迎在评论区聊聊。