MCP không phải extension trang trí.
MCP là cách agent nối vào tool thật: GitHub, database, filesystem, browser, secret scanning, issue tracker, cloud API, hoặc command local. Khi bạn cài một MCP server, bạn không chỉ thêm context. Bạn thêm một cánh tay mới cho agent.
Với người non-tech, câu cần nhớ là: “server này có thể làm gì nếu agent bị sai?”
Tool tốt vẫn làm tăng blast radius
GitHub có MCP Server để agent gọi secret scanning trước khi commit hoặc mở pull request. Đây là hướng tốt: đưa guardrail vào workflow agent thay vì đợi con người nhớ scan.
Nhưng cùng lúc đó, bài học lớn hơn là MCP đưa code, diff, instruction và tool result vào một luồng quyền lực mới. Nếu server có quyền đọc repo, agent có thể gửi code đi scan. Nếu server có quyền ghi issue, agent có thể tạo issue. Nếu server có quyền gọi command, agent có thể chạm vào máy local.
Không có tool nào “chỉ là chat” sau khi nó có side effect.
Marketplace MCP không nên được tin như plugin trình duyệt
Rủi ro MCP không chỉ nằm ở một điểm. Server có thể có bug hoặc bị poison qua registry. Tool description có thể bị dùng để inject prompt. Và quan trọng hơn cả, server có thể chạy process local và agent có thể hiểu sai kết quả, trong khi người dùng approve quá nhanh vì thấy setup trông tiện.
Một report tháng 5/2026 về MCP RCE mô tả vấn đề ở STDIO transport và các hướng khai thác như UI injection, zero-click prompt injection trong IDE, và package độc qua MCP marketplace. Dù chi tiết kỹ thuật còn cần từng team tự đánh giá, thông điệp thực dụng đủ rõ: MCP server phải được xem như software supply chain, không phải prompt snippet.
Rule cài MCP cho non-tech
Trước khi cài, hỏi agent:
List every permission this MCP server gets.
Classify each tool as read-only, write, network, credential access, local command, or destructive.
Explain what data leaves my machine.
Explain what happens if the tool description is malicious.
Give me a minimal config with read-only access first.
Nếu agent không trả lời rõ, đừng cài.
Tách MCP theo môi trường
Không dùng một config cho mọi việc. Prototype thì chỉ local sandbox, không secret thật. Review thì read-only repo, secret scanning, không deploy. Internal tool thì staging API với data đã mask. Production thì manual approval, scoped token, audit log.
Đặc biệt tránh pattern “agent vừa đọc PR comment vừa có token write/deploy”. Đó là biến text ngoài thành action có quyền.
Trước khi cài thêm MCP
Câu hỏi tôi hay dùng là: “Server này sẽ làm gì nếu agent hiểu nhầm một instruction?” Nếu câu trả lời là “không chắc” thì chưa cài được. MCP nào không giải thích được permission, data flow và failure mode thì chưa được vào workstation chính.