在首次安全分析一年后，作者重新审视了模型上下文协议（MCP）的实现情况，指出其已从实验阶段迅速演进至生产使用。MCP 现已使模型能够充当软件，从而在工具交互周围引入了关键的信任边界。最新发布候选版本中的关键变更包括增强的请求检查、更严格的身份验证以及沙箱化的交互式 UI 功能。然而，协议本身并不强制执行安全策略，安全实施仍由用户自行负责。主要风险已发生转移，提示注入和工具投毒依然是重大威胁。在此类场景中，嵌入在工具描述或输出中的恶意指令可劫持代理操作，导致数据泄露或未经授权的运行。授权机制和“混淆副手”问题已进行重大重构，现与 OAuth 2.1 标准及受众绑定令牌对齐，以防止服务器滥用用户权限。过度宽泛的访问权限和凭证聚合仍是关注重点，单个拥有过多权限的受损服务器可能导致大规模泄露。供应链风险和“跑路”事件日益普遍，受损的依赖项或意外的服务器变更可能引入漏洞。未注册的“影子 MCP"实现也构成了治理挑战，因为不可见的服务器无法得到保护或修补。对于处理未净化输入的本地运行服务器，命令注入和沙箱逃逸仍是关注重点，可能允许任意代码执行。企业必须采取审慎的采纳策略，聚焦于服务器清单、身份与策略执行以及持续监控。验证现有文档和软件开发工具包（SDK），并贡献实用的加固示例，是组织的关键步骤。作者鼓励社区为 MCP 的安全功能和请求评论（RFC）做出贡献。未来的讨论将深入探讨这些安全控制措施的实际实施指南。