Cài MCP lạ là cho agent thêm tay, không phải thêm tiện ích

MCP không phải extension trang trí.

MCP là cách agent nối vào tool thật: GitHub, database, filesystem, browser, secret scanning, issue tracker, cloud API, hoặc command local. Khi bạn cài một MCP server, bạn không chỉ thêm context. Bạn thêm một cánh tay mới cho agent.

Với người non-tech, câu cần nhớ là: “server này có thể làm gì nếu agent bị sai?”

Tool tốt vẫn làm tăng blast radius

GitHub có MCP Server để agent gọi secret scanning trước khi commit hoặc mở pull request. Đây là hướng tốt: đưa guardrail vào workflow agent thay vì đợi con người nhớ scan.

Nhưng cùng lúc đó, bài học lớn hơn là MCP đưa code, diff, instruction và tool result vào một luồng quyền lực mới. Nếu server có quyền đọc repo, agent có thể gửi code đi scan. Nếu server có quyền ghi issue, agent có thể tạo issue. Nếu server có quyền gọi command, agent có thể chạm vào máy local.

Không có tool nào “chỉ là chat” sau khi nó có side effect.

Marketplace MCP không nên được tin như plugin trình duyệt

Rủi ro MCP nằm ở nhiều lớp:

• Server có thể có bug.
• Tool description có thể bị prompt injection.
• Registry hoặc package có thể bị poison.
• Server có thể chạy process local.
• Agent có thể hiểu sai tool result.
• User có thể approve quá nhanh vì thấy setup tiện.

Một report tháng 5/2026 về MCP RCE mô tả vấn đề ở STDIO transport và các hướng khai thác như UI injection, zero-click prompt injection trong IDE, và package độc qua MCP marketplace. Dù chi tiết kỹ thuật còn cần từng team tự đánh giá, message thực dụng đủ rõ: MCP server phải được xem như software supply chain, không phải prompt snippet.

Rule cài MCP cho non-tech

Trước khi cài, hỏi agent:

List every permission this MCP server gets.
Classify each tool as read-only, write, network, credential access, local command, or destructive.
Explain what data leaves my machine.
Explain what happens if the tool description is malicious.
Give me a minimal config with read-only access first.

Nếu agent không trả lời rõ, đừng cài.

Tách MCP theo môi trường

Không dùng một config cho mọi việc.

• Prototype: chỉ local sandbox, không secret thật.
• Review: read-only repo, secret scanning, không deploy.
• Internal tool: staging API, fake hoặc masked data.
• Production: manual approval, scoped token, audit log.

Đặc biệt tránh pattern “agent vừa đọc PR comment vừa có token write/deploy”. Đó là biến text ngoài thành action có quyền.

Chốt lại

MCP là một nền tảng rất hữu ích. Nhưng vibe coding sẽ sai nếu coi MCP như nút “thêm khả năng” vô hại.

Cài MCP nghĩa là mở thêm đường quyền lực cho agent. Tool càng hay, blast radius càng cần rõ.

Rule đơn giản: MCP nào không giải thích được permission, data flow và failure mode thì chưa được vào workstation chính.

Tham khảo

• GitHub Changelog: Secret scanning in AI coding agents via the GitHub MCP Server
• Tom’s Hardware: MCP critical remote code execution vulnerability coverage
• arXiv: Are AI-assisted Development Tools Immune to Prompt Injection?