18883个MCP服务器,零安全审计。这个数字不是来自某个小众论坛,而是MCP.so实时统计。更奇怪的是,当所有人盯着litellm的恶意代码时,5家中国科技巨头悄悄完成了入驻——腾讯、智谱AI、高德、百度、MiniMax,时间集中在3月23日至25日。同一周,网络安全公司Qualys刚发出警告:"MCP服务器正在成为AI时代的影子IT。"
没有人把这三件事连起来看。
litellm事件:供应链攻击的老剧本
3月24日,Python库litellm的1.82.7和1.82.8版本被植入恶意代码。这个库的作用是统一调用各大语言模型API——OpenAI、Anthropic、Gemini,开发者只需改一行配置就能切换供应商。恶意文件litellm_init.pth会在安装时窃取API密钥,直接发往外部服务器。
Hacker News两篇帖子合计获得1159个赞、364条评论。这在技术社区属于"地震级"事件。供应链攻击不是新鲜事:2018年npm的event-stream被植入比特币窃取代码,2021年ua-parser-js被篡改。但litellm的特殊性在于,它处于AI基础设施的核心位置——大量生产环境依赖它调用付费API,密钥泄露意味着直接的金钱损失。
事件曝光后,社区反应迅速。PyPI下架恶意版本,开发者紧急轮换密钥。但一个更隐蔽的变化正在发生:同一周,MCP生态迎来了有史以来最密集的中国厂商入驻潮。
MCP.so的72小时:5家中国公司的精准卡位
MCP(Model Context Protocol,模型上下文协议)是Anthropic去年推出的开放标准,让AI助手能调用外部工具。简单说,它给大模型装上了"手"——查地图、搜网页、部署网站、生成图片,不再只是聊天。
3月23日至25日,5家中国公司几乎同时发布MCP服务器:
腾讯EdgeOne:部署HTML文件并返回公开URL。开发者上传代码,秒级获得可访问链接。
智谱AI:网页搜索+意图识别。不只是返回结果,而是理解你想找什么。
高德(阿里系):地图与位置服务。查询路线、POI搜索、地理编码。
百度:地图和搜索服务。与高德形成直接竞争。
MiniMax:文本转语音、图像生成、视频生成。多模态能力一站式接入。
这5个服务器全部登上MCP.so趋势榜。但截至发稿,没有任何公开的安全审计报告,没有第三方代码审查,甚至没有社区讨论它们的数据流向。与litellm事件形成刺眼对比:同样是供应链环节,一个被放大镜检视,另一个几乎无人过问。
两个被忽视的风险维度
npm的供应链攻击已经写进教科书,但MCP有两个关键差异,让风险模型完全不同。
第一,数据流向反转。安装npm包时,代码在你本地运行。它可能挖矿、可能窃取文件,但默认不会把数据发出去——除非显式调用网络请求。MCP服务器的设计初衷就是向外传输数据:地图服务器必须拿到你的位置查询,搜索服务器必须拿到你的搜索词,部署服务器必须拿到你的源代码。这是功能,不是漏洞。换句话说,MCP把"本地执行"变成了"云端代理",攻击面从"你的机器"扩展到"整个数据链路"。
第二,地缘政治变量。npm生态相对中立,没有国家把JavaScript模块注册表视为战略资产。MCP不同:5家中国公司现在提供处理位置数据、搜索查询、部署工作流的服务器。根据2017年《网络安全法》和《国家情报法》,流经这些服务器的数据可能面临存储本地化要求,以及配合情报工作的法律义务。这不是阴谋论,是公开的法律文本。npm从未面临过这种结构性问题。
需要明确的是:目前没有证据表明这5个服务器包含恶意代码。部分项目在GitHub公开了源码。但"开源"不等于"安全",更不等于"已审计"。litellm也是开源项目,恶意代码照样通过了PyPI的发布流程。
影子IT的重演:Qualys的预警与现实的落差
3月19日,也就是litellm事件前5天,安全公司Qualys发布博客《MCP服务器:AI代理时代的影子IT》。他们指出一个熟悉的模式:开发者为了效率,绕过IT部门审批直接安装MCP服务器——这正是2010年代"影子IT"的翻版,当时员工私自使用Dropbox、Slack等云服务,直到数据泄露才引起管理层重视。
Qualys的警告没有获得litellm级别的关注。技术社区对供应链攻击有肌肉记忆,对"影子IT"却有些审美疲劳——这听起来像是大公司合规部门的焦虑,不是开发者的实际问题。
但MCP的特殊性在于,它把两种风险叠加了。你不仅引入了未审计的代码,还把敏感数据交给了它。一个开发者为了调试方便,接入了某地图服务器的MCP接口;三个月后,这个查询日志成为某起案件的证据材料——这种链条在传统软件供应链中几乎不可能出现。
18883个服务器,这个数字每周都在增长。MCP.so的统计页面像极了一个繁荣的集市:天气查询、股票数据、GitHub操作、数据库管理,应有尽有。但集市的繁荣往往伴随着假货——npm的教训是,恶意代码会伪装成最实用的工具。
腾讯的EdgeOne服务器能让开发者"秒级部署",这个功能确实解决了痛点。但当你上传的HTML包含内网API地址时,谁保证这些元数据不会被记录?智谱AI的搜索意图识别确实比关键词匹配更聪明,但你的搜索历史是否构成用户画像的原材料?这些问题没有答案,因为没有人问过。
技术社区正在重复一个经典错误:对已知风险过度反应,对未知风险视而不见。litellm的恶意代码被发现后,开发者们检查了自己的依赖树、轮换了API密钥、讨论了PyPI的安全机制——这些都是正确的动作。但同一周出现的5个中国MCP服务器,没有触发任何同等程度的审视。
这种选择性注意有其心理根源。供应链攻击有明确的"坏人"叙事:某个攻击者植入了恶意代码,我们找出他、修复它、加强防护。地缘政治风险则是灰色的、结构性的、没有具体反派角色的。它要求开发者思考法律管辖、数据主权、合规框架——这些话题在Hacker News上很难获得1159个赞。
但风险不会因为社区关注度低而消失。MCP协议的设计假设是:服务器提供者是可信的。这个假设在npm时代已经破产过无数次,现在只是换了个场景重演。区别在于,这次你的数据会主动送上门。
一个值得玩味的细节:5家中国公司的入驻时间窗口。3月23日至25日,恰好是GTC大会(英伟达年度开发者大会)的余波期,也是Claude 4传闻发酵的前夜。MCP作为Anthropic主推的标准,正在经历生态扩张的关键阶段。中国厂商的集体入场,是对标准话语权的精准卡位——但伴随这个动作的,是安全话语的完全缺席。
没有人在MCP.so的页面上标注"该服务器受中国法律管辖"。没有人在文档里解释数据存储位置。开发者看到的只有功能列表和接入代码,复制粘贴,三分钟跑通demo。这种体验设计本身就是风险:它把"接入外部服务"的摩擦降到极低,也把"评估信任成本"的环节完全省略。
18883个服务器,零审计。这个数字的荒诞之处在于,它同时代表了开放生态的活力和治理真空的深度。我们习惯了用"创新"为这种真空辩护:先让生态长大,再考虑安全。但litellm事件证明,恶意代码不会等待生态成熟。
当开发者下次复制那段MCP服务器配置时,会不会多看一眼提供者的注册地?当IT部门制定AI工具政策时,会不会把MCP纳入供应链审计范围?这些问题没有标准答案——而答案的缺失,本身就是答案。
热门跟贴