AI代理能调用外部工具干活,但你知道这些"工具"本身有多危险吗?安全创业公司Manifold Security Inc.今天宣布,把7700多个MCP服务器拉进了自家的安全评分系统。这不是简单的目录扩充——它瞄准的是一个被忽视已久的盲区。
MCP,即模型上下文协议(Model Context Protocol),是Anthropic开发的一套标准接口。简单说,它让AI代理能无缝连接外部数据源和工具:查数据库、调API、操作第三方服务。这个协议已经成了行业事实标准,主流代理平台基本都已内置支持。但问题也随之而来:用的人多了,审的人却没跟上。
Manifold的Manifest工具原本只做代理技能和插件的安全评估,现在把MCP服务器纳入同一套索引。每个服务器拿到一个综合评分,由两部分构成:血统分(Lineage Score)看发布者靠不靠谱,安全分(Safety Score)看行为有没有猫腻。分数越高,意味着来源可信、行为干净。
为什么这事急迫?因为MCP服务器和传统的代理技能根本不是一回事。技能通常是公开的GitHub仓库里的Markdown文件,谁都能翻代码。但很多MCP服务器只暴露一个HTTP端点,安全团队能看到的只有它自己声明的工具描述和元数据。更麻烦的是,一个服务器可以在声明里只字不提,实际上却把代理发来的输入转手传给第三方。安全团队只能靠信任,没法验证。
一旦被攻破,MCP服务器不只是"影响"代理的推理——它直接控制执行流程和数据走向。对企业来说,部署代理工作流之前,血统和行为信号成了刚需。
Manifold的血统分怎么算?看作者历史、社区足迹、仓库年龄、提交模式,还有注册列表和底层源码之间的命名或身份差异。安全分则检查声明接口里有没有自相矛盾的内容,或者试图操控调用代理的伎俩——比如强制性指令覆盖代理决策,或者工具描述里埋了提示注入攻击。
产品分两层。免费层开放全部评分索引,能搜技能、插件、MCP服务器,血统分、安全分、综合分一目了然。企业层则对接Manifold平台,自动给环境里发现的每个MCP服务器打上评分。
截至目前,Manifold的索引已覆盖206,000多项资产,来自31,472个独立发布者,横跨技能、插件和MCP服务器三类。更多注册源和GitHub托管的服务器还在评估中,准备后续纳入。
这家公司是风投支持的初创企业,此前因融资消息进入公众视野。这次产品更新没有公布新的融资数字,但动作本身说明了一件事:AI代理的安全战场,正从"模型本身"向"模型能触达的一切"快速蔓延。
一个值得注意的细节是评分方法的局限性。血统分依赖公开可验证的信号,如果发布者刻意伪装,仍有绕过空间。安全分基于声明接口的静态分析,对运行时行为的覆盖有限。Manifold没有声称这套分数能替代人工审计,而是把它定位成"优先排序工具"——帮安全团队从7700个服务器里快速挑出值得深入看的那些。
这背后是整个行业的结构性紧张。MCP的设计哲学是开放和互操作,任何人都能发布服务器,代理平台为了生态丰富度倾向于广泛接入。但企业部署时需要的是可控和可审计,这两个目标天然冲突。Manifold试图在中间搭一座桥:不改变协议本身,而是给参与者提供透明的风险评估。
对于正在评估或已经部署AI代理的安全团队,这个工具解决了一个很实际的痛点——以前面对MCP服务器基本处于"盲飞"状态,现在至少有了一张粗略的地图。地图准不准、更新及不及时,是接下来要验证的。
热门跟贴