MCP 的好处也正是风险来源

MCP 解决的是一个真实问题:模型和 Agent 需要稳定连接外部工具、数据源和服务。没有协议,每个集成都像一次手工适配。

但协议让接入更容易,也会让供应链风险前移。过去我们审查代码包,现在还要审查工具如何描述自己、要求什么权限、是否诱导模型执行越界动作。

工具描述不是中性文本

很多人会把工具描述当成 API 文档。Agent 场景里不是这样。工具描述会进入模型上下文,影响模型对能力、边界和调用时机的判断。

如果描述含糊、夸大或被恶意修改,模型可能把不该调用的工具当成安全默认项。描述本身就成了执行路径的一部分。

企业要审三类对象

第一类是 server identity:这个 MCP server 到底来自谁,部署在哪里,版本是什么。第二类是 tool manifest:工具名称、描述、参数和返回值是否稳定。第三类是 permission boundary:工具能读什么、写什么、代表谁行动。

这三类对象缺一类,企业都很难放心接入。只看 server 代码,不看描述和权限,是不完整的供应链审查。

治理方式可以先很朴素

第一版治理不必复杂。所有 MCP server 进入生产前,至少应该登记 owner、版本、工具列表、权限范围、变更记录和回滚路径。工具描述变更应像接口变更一样走 review。

这不是把创新堵住,而是承认 Agent 会按描述行动。只要描述能改变行动,描述就必须进入供应链治理。