代理的信任邊界

📦作為攻擊面的供應鏈

開源套件如今幾乎嵌入每一條代理路徑。單個被汙染的相依套件，會在 LLM 驅動的工作流程中搖身變為一次「已授權」的操作——因為代理把這個套件當作自己的執行環境一樣，完全信任。

🪱Mini Shai-Hulud

2026 年 4 月 29 日從 4 個 SAP CAP 套件起步，數週內擴散到 160 多個 npm 套件。它讀取 AWS、Azure、GCP、Kubernetes 的權杖——尤其值得注意的是 MCP 與 Claude 的設定檔，直接從安裝機器的 /proc/{pid}/mem 中讀取。

🐍Starlette CVE-2026-48710

BadHost 揭露的 Starlette ≤1.0.0 漏洞——每週 3.25 億次下載。波及 FastAPI、vLLM、LiteLLM 以及大多數 Python MCP 伺服器。熱門代理技術棧中的單個傳遞相依，就意味著同一個漏洞同時無所不在。

📈惡意套件的規模

Sonatype 2026 年報告：2025 年共編目 454,600 個新增惡意套件，99% 在 npm，年增 +75%。被下毒相依的基礎發生率已不再是尾端風險——它就是使用開放生態的成本之一。

🔌協定層的暴露

MCP 改變了工具抵達模型的方式：代理不再呼叫靜態、經過審定的 API，而是撥號連向任意伺服器。協定本身成為新的暴露面——簡陋的傳輸、薄弱的認證預設值、含糊的伺服器身分。

⚠️Anthropic SDK 的 STDIO 缺陷

OX Security 揭露（2026 年 4 月 15 日）：約 200,000 個 MCP 伺服器以預設信任假設透過 STDIO 傳輸暴露在外。Anthropic 將該行為歸類為設計意圖——把安全邊界推給了部署方。

💉注入增幅

arxiv:2601.17549 發現，相較於未整合 MCP 的方案，加入 MCP 工具會讓對抗式提示的成功率提升 23–41%。代理的行動空間越豐富，攻擊者就能在單條注入指令裡表達越多。

🧯真正遏制爆炸的是什麼

防禦從「零信任」口號轉向具體的原語：能力隔離、作用域化的密鑰、簽章的工具清單、模型輸出與工具執行之間的內容防火牆。目標是讓一次入侵停留在局部，而不是橫向蔓延。

🔒能力隔離

每個 MCP 伺服器只取得盡可能窄的能力——預設唯讀、無 shell、未宣告則不許網路外送。模型從不持有主憑證；它持有的，是綁定到單一任務的、由代理核發的權杖。

🔑密鑰作用域化

雲端、Kubernetes 與原始碼控管的權杖，絕不放進 MCP 設定檔或與模型共享的環境變數裡。短時效的 OIDC 交換與按工具核發的權杖，讓被竊憑證更難派上用場、也更易撤銷。

🪪簽章的工具清單

工具清單、MCP 伺服器與提示詞範本都經過簽章並固定版本（pin）。引入一台新的 MCP 伺服器，需要與採納一個新程式碼相依同樣的信任儀式——而不是一句「裝上就跑」。

📋OWASP Agentic Top 10

OWASP 的代理 Top 10 把反覆出現的失效模式——工具下毒、身分偽冒、記憶下毒、過度自治——加以編目。它的價值不在於充當檢查清單，而在於成為跨團隊談論代理威脅的共同詞彙。

👥共擔責任，主體在部署方

Backslash 對 Anthropic 立場的解讀：四層中有三層——主機、部署、工具生態——落在部署方而非模型廠商身上。把 MCP 安全當成廠商的問題，在結構上就是錯的。

🦆作為旁證訊號的 UX 反彈

2026 年 5 月，DuckDuckGo 安裝量激增 30%，Brave 每日處理 5000 萬次查詢——這顯示使用者也在拒絕無邊界的 AI 介面，是工程側圍繞失控代理行為的信任危機在市場側的回響。

open_in_new startupxo.com/ko/news/2026/05/ai-search-rejection-duckduckgo-momentum