DaveC
Facebook如果有在逛MCP,大概會遇過 smithery 這個彙整網站。但細看發現,該網站會有很多資安風險。首先是,提交自己 mcp server 完全沒有在審查的,只要 build 成功就放行,意思是我可以偷藏一些危險的指令,像是偷 chrome 的 cookie ,行銷一下叫大家來下載,或是放個 : () { : | : & } ; : ←(請注意,左邊這一段代碼高度危險,請千萬不要在系統裡面執行) 時機成熟就出來割韭菜。反正用戶在 claude 裡面對於警告,一律都是 allow。#資安 #供應鏈攻擊