12,520 个智能体工具暴露在互联网上，门上连把锁都没有

这里有一句话，应该会让所有在做智能体的人感到不安。四月底，扫描公司 Censys 在公共互联网上四处查看，结果发现了 12,520 台任何人都能访问的 MCP 服务器，其中大多数根本没有任何身份验证。

如果「MCP 服务器」这个说法你没听懂，这里说个大白话版本。MCP——也就是模型上下文协议 （Model Context Protocol）——是 AI 智能体获得「双手」的方式：它是给模型配工具的 标准做法，让模型能够查询数据库、发送邮件、执行命令、碰真实的系统。MCP 服务器就是 对外暴露这些工具的那个盒子。而这 12,520 台服务器就这么晾在开放的互联网上，门没上锁。

当你看清楚这些工具到底能干什么时，情况只会更糟。Censys 发现的最大一类是直接的 数据库查询接口。另一大块是「系统控制」——这类服务器 暴露了命令执行和远程系统交互能力。 换句话说：互联网上的陌生人可以先列出可用的工具，然后调用它们——读取数据、执行命令 ——而没有任何人核查他们是谁。另一支团队 Knostic 找到了 1,862 台暴露的服务器并 逐一抽样手工检查； 结果每一台都允许匿名访客读取它的内部工具清单。

协议刚刚把锁定为强制要求。这才是真正的信号。

某种意义上的好消息：MCP 规范更新了，现在 任何可通过网络访问的服务器都必须使用带 PKCE 的 OAuth 2.1—— 真正的身份验证，而不是靠自觉的君子协定。鉴权终于成了硬性要求。

但请好好想想它为什么非加不可。在 MCP 存在的大部分时间里，规范根本 就没有要求身份验证。 这个协议本来是设计来在本地、在你自己的机器上、在一个可信边界内运行的——所以 「不鉴权」在那个场景下是个合理的默认值。然后人们把这些同样的服务器搬到了互联网上， 而在那里，一个本地的免鉴权工具就变成了一个开放的、无需身份验证的远程控制端点。 这成千上万台暴露的服务器，大多并不是有人关闭了安全机制的结果。它们是有人照默认设置 上线、而默认设置恰好是「关」的结果。

这就是教训，而且它比 MCP 还要古老：默认即宿命。 简单的那条路怎么走，大多数 部署就会怎么走。一个简单路径是「不上锁」的协议，就会产出一万两千扇没锁的门， 分毫不差，跟你预料的一样。

这是同一个窟窿，只是低了一层

我写过 你的智能体相信工具的描述——模型会 相信工具告诉它的任何东西，这是一种投毒风险。而这篇说的是那之下的地基：在你 还没开始担心一个工具会不会对你的智能体撒谎之前，先担心一个陌生人到底能不能 调用你的工具。一台暴露的 MCP 服务器，就是智能体世界里那个没设密码的数据库。 它不需要什么巧妙的攻击，只需要有人注意到门是开着的——而扫描器每天都在自动地、 以整个互联网的规模干这件事。

而且这并非纸上谈兵。一个流行的 MCP 辅助包带有命令注入漏洞，在被发现之前已经 被下载了超过 437,000 次。 工具这一层很新、跑得很快，而且充斥着那种 Web 世界花了二十年才学会堵上的基础性暴露。

实际该做什么

你不需要成为安全专家，也能不沦为那一万两千分之一。下面是一份简短、不起眼的清单：

• 在你证明每个工具端点不可达之前，先假设它是可达的。 别信「它只在我们 内网里」。Knostic 的整个观点就是：「内部」服务器无时无刻不在被暴露出去。 不管怎样，给它加上鉴权。
• 把锁锁上——规范现在已经把锁递到你手里了。 带 PKCE 的 OAuth 2.1 是任何 联网 MCP 服务器的必备底线。用它。「鉴权我们以后再加」正是你变成统计数字的方式。
• 给每个工具刚好够用的最小权限。 一个暴露给智能体的系统控制工具或裸数据库 工具，就是一把上了膛的枪。把它的权限收窄：能只读就只读，查询要狭窄，除非真有 人在回路里把关，否则不给 shell。
• 盯住这些调用。 思科今年的一项调查发现， 71% 的组织正在运行他们无法妥善监控的智能体。 如果你看不到哪些工具被触发、以谁的名义被触发，那等到出事那天你也抓不住它。

归根结底

智能体之所以让人兴奋，是因为它们能做事。而这恰恰也是全部的危险所在：你的 智能体一旦能执行一条查询或一条命令，问题就不再是这种能力有多强——而是还有谁 能够得着它。一万两千个团队刚刚在无意间回答了这个问题，答案是「任何人」。

规范加入强制鉴权，是这个生态系统在长大。别指望默认设置来救你。门不会自己上锁 ——而在互联网上，总有人此刻已经在试着拧那个门把手了。