以企業的角度而言, 會很擔心資安問題, 我的建議是只使用官方開發的 Mcp server, 避免使用社群維護的, 例如 gitlab mcp server, 有社群維護版本的也有官方維護版本的, 假使有一天作者被駭, 可能公司的 repo 會直接被刪掉或是偷走, 尤其對於僅提供 http 互動的 mcp server 更需要警惕, 因為你無法看他的原始碼, 無法得知他是否偷偷做了甚麼, 搞不好他背後偷偷存了你的 key, 或是偷偷竊取了你的資料, 雖然就算 code base是公開的我們也沒辦法那麼閒每個都檢查, 所以才說應該只使用官方版本的.
並且跟使用任何工具一樣, 在權限的給予你應該只給最少需要的權限.
近期有一家資安檢測公司的文章指出, 由社群維護的 github mcp server 被診斷出有資安疑慮: https://invariantlabs.ai/blog/mcp-github-vulnerability
iThome鐵人賽
看影片追技術