MCP的另一面

  每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗？订阅我们的简报，深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同，从行业内部的深度分析和实用指南中受益。不要错过这个机会，成为AI领域的领跑者。点击订阅，与未来同行！ 订阅：https://rengongzhineng.io/

一份超硬核的技术文章最近在开发圈里刷了屏，主角是「模型上下文协议」（Model Context Protocol，简称MCP）。这玩意儿近几周迅速从“有点酷”的新概念，变成了连接第三方工具和大语言模型聊天助手的“事实标准”。不过别只看表面风光，MCP的坑可真不少。

文章作者一边是MCP的铁杆粉丝，一边又忍不住吐槽它的种种“缺陷”。全文从多个角度梳理了MCP的问题，包括协议安全性、用户体验、语言模型的信任风险、数据访问控制混乱，以及对LLM能力的过高期待。

简单来说，MCP是让各种聊天助手（比如Claude、ChatGPT、Cursor等）能外挂不同插件、连接各种数据源的通用桥梁。用户只需一句话，比如“帮我查一下论文有没有漏掉引用，再把灯变成绿色表示搞定”，就能让三个不同的MCP服务器协同作业，完成这个复杂任务。

看起来高效又聪明，但问题也不少：

第一坑：安全问题 协议早期压根没定义身份验证，后来匆忙补上也引来一堆争议。更离谱的是，很多MCP工具需要用户下载并运行代码，万一是恶意代码直接本地沦陷。另外，工具默认信任输入，甚至直接执行代码，导致中招风险飙升。

第二坑：用户体验差 MCP虽然对LLM友好，但对人类不太友好。比如协议没考虑工具风险等级——有的能订机票，有的能删文件，万一不小心“连点确认”，度假照就全没了。更别说还没有流量成本控制，结果就是传一堆大文本内容，每次响应都烧钱。协议也只支持非结构化文本输出，复杂交互场景（比如打Uber或发动态）根本搞不定。

第三坑：LLM信任危机 MCP进一步加大了提示注入（Prompt Injection）的风险。工具有时能篡改系统指令，甚至还可以“换皮骗点击”。更高级的黑招包括把敏感文件内容传给第三方，或者通过工具名称伪装成官方接口。只要用户稍不注意，数据泄漏不是梦。

第四坑：权限幻觉 许多公司以为“员工能看什么，AI助手就能看什么”，但事实远没那么简单。AI聚合数据的能力太强，结果可能让员工获得一些“技术上可以，但不该有”的敏感信息。比如根据公开消息推测公司财务、识别匿名反馈人、计算预期营收等操作，都是灰色地带。

第五坑：LLM自身不靠谱 MCP的好用前提是LLM能稳定、准确地使用这些工具，但现实是，不少模型连简单任务都完成不了。即使工具接好了，LLM可能因为提示太长反而性能下滑。不同模型对工具描述方式的偏好也不一样，开发者根本抓狂。

总结来看，MCP的初衷很美好，让AI助手更强大、更自由地使用各种数据和服务。但现实是，协议、应用和用户都得一起努力，才能避免“神操作变事故现场”。设计好协议路径、开发者做好防坑提醒、用户增强风险意识，才是未来MCP生态健康成长的关键。