2026 年,AI Agent 已經不再是概念驗證,而是真正在生產環境中運作的「數位員工」。從自動建立資料庫、執行多步驟工作流程,到自主進行程式碼重構與測試,AI 代理正在以驚人的速度接管開發者的日常工作。然而,在這股浪潮背後,一場靜默的資安危機正在醞釀——而這次的主角,不是傳統的 SQL Injection 或 XSS,而是 AI Agent 賴以運作的基礎協定:MCP(Model Context Protocol)。
MCP 是什麼?為什麼它突然成為攻擊焦點?
MCP 是 Anthropic 在 2024 年底推出的開放協定,目的是讓 AI 模型能夠安全地連接外部工具與資料來源。你可以把它想像成 AI Agent 的「USB 接口」——透過 MCP,AI 可以讀取檔案系統、查詢資料庫、呼叫 API,甚至操作你的開發環境。隨著 Claude Code、Cursor、Windsurf 等工具的普及,MCP 迅速成為 AI 開發生態系的核心協定。
但問題也隨之而來。2026 年 2 月,資安研究人員掃描發現超過 8,000 台 MCP 伺服器暴露在公共網路上,其中大量伺服器的管理面板、除錯端點和 API 路由完全沒有任何認證機制。更令人震驚的是,在 2026 年 1 月到 2 月之間,研究人員針對 MCP 相關漏洞提交了超過 30 個 CVE,其中包含一個 CVSS 評分高達 9.6 的遠端程式碼執行漏洞。
工具投毒:比 Prompt Injection 更隱蔽的攻擊
如果說 Prompt Injection 是對 AI 的「社會工程攻擊」,那麼工具投毒(Tool Poisoning)就是對 AI 基礎設施的「供應鏈攻擊」。攻擊者不需要直接操控 AI 模型,只需要篡改 MCP 伺服器上註冊的工具描述或行為。由於 AI Agent 是透過閱讀工具的元資料(名稱和描述)來決定該呼叫哪個工具,攻擊者可以在描述中嵌入隱藏指令,誘導 AI 執行未授權的操作。
MCPTox 基準測試的結果更令人擔憂:研究人員使用 45 個真實的 MCP 伺服器和 353 個工具進行測試,發現能力越強的模型反而越容易被攻擊。o1-mini 的攻擊成功率高達 72.8%,原因在於這些模型更擅長「遵循指令」,而攻擊正是利用了這個特性。這是一個深刻的悖論:我們訓練 AI 越聽話,它就越容易被利用。
記憶投毒:持續潛伏的長期威脅
比工具投毒更可怕的是記憶投毒(Memory Poisoning)。當 AI Agent 具備長期記憶能力時,攻擊者可以透過污染的資料來源將惡意資訊植入 Agent 的記憶中。與標準的 Prompt Injection 不同,這種攻擊會持續存在,讓 AI 在未來的對話中「回憶起」這些惡意指令。Lakera AI 的研究展示了攻擊者如何透過間接注入腐蝕 Agent 的長期記憶,使其對安全政策和供應商關係產生持續性的錯誤認知。
對開發者的實際影響
如果你是 PHP、Flutter 或任何 Web 技術的開發者,這些威脅離你並不遙遠。隨著越來越多的開發工具整合 MCP 協定,你每天使用的 IDE 插件、AI 助手、自動化工作流程,都可能成為攻擊入口。一個被投毒的 npm 套件可以劫持你的 AI Agent,讓它在你不知情的情況下執行惡意操作。
更實際的問題是:當你的 AI Agent 有權限存取資料庫、修改程式碼、甚至部署服務時,一次成功的攻擊可能造成的損害遠超傳統漏洞。McKinsey 的紅隊測試就證明了這一點——一個 AI Agent 在短短兩小時內就透過 SQL Injection 取得了讀寫權限,暴露了數千萬筆聊天記錄和帳戶資訊。
我的觀點:安全意識必須跟上工具的進化速度
作為一個長期關注 AI 開發工具的實踐者,我認為 2026 年最危險的不是 AI 不夠強,而是我們對 AI 基礎設施的信任跑得太快。我們急著把 MCP 伺服器接上所有東西,卻忘了問最基本的問題:這個連接有認證嗎?這個工具的描述可信嗎?這個 Agent 的權限是否遵循最小權限原則?
好消息是,防禦機制正在快速發展。協定層面的改進包括內建認證標準、工具描述簽章和伺服器認證機制。OWASP 也已經發布了 MCP Top 10 安全風險清單,為開發者提供了實用的防護指南。
但最終,技術方案只能解決一半的問題。另一半需要每個開發者改變心態:AI Agent 不是一個可以無條件信任的同事,它是一個需要嚴格權限管理和持續監控的系統。當我們賦予 AI 越多的自主權,我們就需要建立越完善的護欄。
這不是要阻止 AI 的發展,而是要確保我們在擁抱效率的同時,不會把大門敞開給攻擊者。2026 年的 AI 開發者,除了要會寫 Prompt,更要會寫安全策略。