来源：Dev.to

社区热议：

1. 用透明 stdio 代理拦截 tools/call 这个思路很干净。智能体完全不知道它存在，代理把真实 server 当子进程拉起来双向泵 JSON-RPC，只在 tools/call 时评估——允许/拒绝/要求审批。不改客户端、不要求智能体配合，工程上很优雅 —— 关注 MCP 安全的读者

2. “默认拒绝 + 最小权限”填补了扫描器和防火墙之间的空白。扫描器告诉你有风险然后就走了，防火墙要你提前手写 YAML 而你根本不知道智能体会用什么。record → infer → lock → replay → enforce 这条流水线把闭环补上了 —— 安全工程师读者

3. HTTP/SSE 传输支持什么时候上路线图？现在只支持本地 stdio MCP server，对 fleet 级部署还不够。审批还只在终端弹窗，dev 没问题，团队规模一上去就不够用了 —— 关注部署规模的读者

4. tool poisoning 那类攻击——server 静默改了工具描述或 schema，模型重读就被悄悄重新指令——用 hash 锁定工具身份这招很对。agentperms lock 给每个工具的 name/description/schema 算哈希，lock --check 在 CI 里一跑，被投毒的工具直接 fail build —— 关注供应链安全的读者

5. infer 是杀手命令。跑一阵 record，它读 trace 直接吐出最小策略：调过的工具进 allowed_tools、碰过的目录坍缩成最小覆盖集、已知危险类（shell、repo 删除、发邮件、DB 写）直接进 denied_tools/human-approval。读起来像安全审查替你写的一样 —— 被 infer 惊艳到的读者

海外技术社区热点采集。