MCP Narrative Collapse: Three Takes from Perplexity, YC, and the Indie-Hacker World
In 72 hours, the AI infrastructure community went from "MCP is the future" to "MCP sucks honestly." Perplexity's CTO says they are moving off it internally. Garry Tan at YC posted the eulogy. Pieter Levels declared it dead. Here is what actually shifted, why the Ox Security disclosure was the trigger, and what it means for agent-layer security going forward.
摘要
72 小時內三條公開表態,都來自「意見能動資本」的人:
- •**Perplexity CTO Denis Yarats**:確認 Perplexity 內部正在遷出 MCP。
- •**Y Combinator 總裁 Garry Tan**:在 X 發「MCP sucks honestly」,訊息傳遍整個 YC founder 社群。
- •**Pieter Levels**(indie-hacker 界代言人):宣告 MCP「已死」。
三個表態都發生在 Ox Security 的 [2026-04-16 揭露](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/) — 系統性 STDIO 設計缺陷、影響 20 萬個伺服器 — 以及 Anthropic 決定不修之後。這篇不是要打 MCP。是記錄「基礎設施共識裂開」的那一刻,以及當協定本身被質疑時,「出偵測標準」這件事的意義。
三個表態的重量
**Perplexity CTO Denis Yarats — 企業工程在講話。** Perplexity 是 production 上最重度的 AI agent 消費者之一。他們 CTO 公開說內部正在遷出 MCP,不是一則 tweet,是服務 1 億用戶的人做的採購決定,是預算項目。
**YC 總裁 Garry Tan — 資本配置者在講話。** YC 過去 12 個月投了數十家 agent 基礎設施新創。「MCP sucks honestly」從 YC 頂端發出,同時傳到每一家 portfolio 公司。那些 Series A 簡報用 MCP 當底層的創辦人,現在要解釋他們為什麼還在上面。
**Pieter Levels — indie-hacker 代言。** 獨立 AI builder 的長尾。Levels 宣告某個技術死了,技術不會真的死,但敘事重量會偏移。Indie hackers 默認「動快一點,不要賭輸家」。
什麼真的變了(什麼沒變)
MCP 這個協定本週沒有改變。安裝基數還是 1.5 億次下載。production 整合數還在增加。Claude Desktop 還在出。變的是**信任配置** — 本來大家假設「Anthropic 會修協定層的問題」,這個假設在 2026-04-16 被打破:Anthropic 公開把一個系統性 STDIO 問題歸類為「預期行為」。
這是協定治理失效,不是技術失效。而且不可逆,因為一家曾經拒絕修的廠商,之後也會被預期拒絕。
對 agent 層安全的意義
兩件事接著發生:
**1. 偵測層從「nice-to-have」變「first-class 契約」。** 當協定廠商不再是後盾,防守方必須把每個已知攻擊類別列出來。這是 [Agent Threat Rules (ATR)](https://github.com/Agent-Threat-Rule/agent-threat-rules) 過去 6 個月在做的事 — 目前 113 條開源偵測規則,99.6% precision on PINT(對抗性 benchmark),100% recall on structured SKILL.md,已在 Cisco AI Defense 跟 Microsoft Agent Governance Toolkit 出 production。
**2. 協定無關的偵測會贏。** 不管 MCP 被什麼取代(或跟它並存),攻擊面都一樣:prompt injection、skill compromise、credential exfil through agent context、fork 假冒。這些攻擊類別是 agent 模型的問題,不是傳輸層的問題。綁 MCP wire format 的規則會隨 MCP 死掉。綁語意攻擊類別的規則(我們這種)會比傳輸層更長命。
我們的判讀
我們不認為 MCP 死了。我們認為市場把 MCP 從「預設安全的標準」重新 price 成「有已知設計缺陷、需要補償性控制的 legacy 協定」。那些補償性控制就是偵測規則。也就是說,本週發生的基礎設施轉向,對 agent 層偵測來說是**產業 tailwind**。
如果你還在 MCP 上:不用急著 migrate。把偵測放在邊界就好。`npx agent-threat-rules scan <path>` 一分鐘內跑完。
如果你正在遷出 MCP:記住 — 後繼者會繼承同一個攻擊模型。把安全預算投在「綁語意攻擊類別」的偵測規則,不是「綁傳輸協定」的。
參考來源
- •Ox Security 原始揭露 — [The Mother of All AI Supply Chains](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/)(2026-04-16)
- •社群合輯 — [Was MCP a Mistake?](https://www.aiengineering.report/p/was-mcp-a-mistake-the-internet-weighs)(AI Engineering Report, 2026-04-18)
- •主流媒體 — [AI agent fever comes with lurking security threats](https://startupnews.fyi/2026/04/19/ai-agent-fever-comes-with-lurking-security-threats/)(2026-04-19)
- •ATR 論文 — [doi.org/10.5281/zenodo.19178002](https://doi.org/10.5281/zenodo.19178002)
---
*前一篇同主題:[Anthropic 不修了](/blog/anthropic-wont-patch-mcp-stdio-flaw-zh)。*