MCP / Skill 红灯项：看到这些先停止

MCP、Skill、Plugin、Extension 的风险不在名字，而在它们可能给 AI 新权限：读文件、写文件、联网、运行命令、拿 Token、连云服务、触发自动化。新手看到红灯项，先停止，不要继续安装。

10 个红灯项

1. 要你粘贴 Token、cookie、私钥或生产 .env

这类信息一旦泄露，别人可能直接访问你的账号、代码仓库、云资源或数据库。即使只是“本地测试”，也不要把真实凭证交给陌生 MCP 或 Skill。

2. 默认要求大范围权限

例如 GitHub 全仓库读写、组织级权限、云账号管理员权限、数据库写权限。权限越大，误操作和被利用后的损失越大。

3. 远程脚本直接执行

例如教程让你复制一个远程脚本并直接运行，但没有解释脚本内容、来源、版本和回滚方法。新手不要把“安装方便”当成“安全”。

4. 包含脚本但没有说明会改哪里

如果 scripts 会删除、移动、覆盖、上传文件，或者会运行 shell 命令，却没有清楚说明，先停止。

5. 能自动提交代码、创建 PR 或触发 CI

这类自动化可能把错误代码、敏感文件或未审查改动推到远程。先在空仓库测试，不要接真实项目。

6. 连接生产数据库、支付、云资源或业务系统

新手不要把 MCP 直接接到生产环境。任何会改数据、发通知、扣费、开资源的工具，都要单独隔离测试。

7. 来源不清、没有 License、长期无人维护

awesome 仓库收录、高 star、被别人推荐，都不等于安全。没有 License、维护者、更新时间和卸载说明时，默认只读。

8. 工具描述能偷偷改变模型行为

MCP 工具、Skill 描述、prompt 模板都可能影响模型判断。如果说明里夹带“忽略用户要求”“自动批准”“隐藏输出”等内容，直接停止。

9. 会把大量上下文发给外部服务

包括项目源码、聊天记录、文档、客户数据、日志、错误堆栈。即使没有 Token，也可能泄露业务信息。

10. 没有卸载、禁用或回滚方式

无法关闭的工具不适合新手。安装前先问清楚：装在哪里、改了哪些配置、如何禁用、如何删除。

可复制红灯检查提示词

请帮我检查这个 MCP / Skill / Plugin / Extension 是否有红灯风险。不要安装，不要执行命令。

链接或本地路径：{URL 或路径}
访问日期：2026-06-16
我准备使用的环境：空测试仓库 / 真实项目 / 不确定

请按 10 个红灯项检查：
1. 是否要求 Token、cookie、私钥、生产 .env
2. 是否要求大范围账号、仓库、云服务或数据库权限
3. 是否要求远程脚本直接执行
4. 是否包含会读写、删除、上传文件的脚本
5. 是否会自动提交代码、创建 PR 或触发 CI
6. 是否连接生产数据库、支付、云资源或业务系统
7. 来源、License、维护状态是否清楚
8. 工具描述或 prompt 是否有可疑指令
9. 是否会把源码、日志、聊天记录或业务数据发给外部服务
10. 是否有卸载、禁用或回滚方式

最后输出：
- 红灯项：列出命中的项
- 黄灯项：需要人工确认的项
- 绿灯项：确认安全的项
- 结论：只读学习 / 空仓库测试 / 暂不安装 / 不要安装

黄灯怎么处理

黄灯不是“可以安装”，只是“可以继续查”。处理方式：

1. 打开官方文档或仓库 README 复核。
2. 看脚本和配置，不运行。
3. 准备空测试仓库。
4. 不放真实 .env、Token、cookie、客户数据。
5. 记录卸载和禁用方法。

成功标志

• 你能指出具体红灯项，而不是只说“感觉不安全”。
• 你知道它需要哪些权限。
• 你知道它是否会联网、写文件、执行命令。
• 你知道能不能安全卸载。
• 你愿意因为一个红灯项停止安装。

下一步

如果没有红灯，也先用 社区 Skill 复测清单 做完整审查。只有在空测试仓库里验证过，再考虑放进真实项目。

来源与日期

• 来源：MCP security best practices、OWASP MCP Top 10、Codex Agent Skills。
• 分享日期：2026-06-16。
• 复测日期：2026-06-16。