npm/Docker/PyPI的供应链安全模式正在MCP上重演，我们正处于2015年的时刻

套路总是一模一样：注册表快速启动并增长，由于增长优先而审查极少，第一波事件爆发，社区愤怒，工具跟上，安全成为基础预期。npm大约花了三年时间从event-stream事件走到`npm audit`成为标配。Docker Hub也差不多。MCP目前处于第二步，即将迈入第三步。本月对500个Smithery服务器的扫描数据显示：18.8%存在安全问题，6个含有硬编码的实时凭证，没有一个被发布前扫描发现——因为根本不存在发布前扫描。Check Point在2月份披露的一项研究显示，针对Claude Code存在一条CVSS 8.7的攻击链，其整个载荷就是配置文件中的自然语言。与npm的不同之处在于恶意内容所做的事情。npm包执行未经授权的代码。而一个恶意的MCP技能文件则向已经拥有你工具、文件系统和API访问权限的智能体发出未经授权的指令。LLM无法区分来自用户的指令和来自技能文件的指令。两者都会进入上下文窗口，并被执行。现有的安全工具对此没有模式。解决办法始终是同样的三个层面：发布前注册表扫描、面向消费者的CI集成，以及公开的漏洞数据库。对于MCP，这三个方面目前都还没有成熟的形式。时间线是一年还是三年，取决于注册表运营商是主动行动，还是等待一个足够公开的事件发生。根据npm和Docker的过往经历，我打赌事件会先发生。我们为此构建了一个静态扫描器：`pip install bawbel` - 扫描技能文件和MCP服务器配置，无需执行任何内容。其漏洞数据库对标AVE。