# 效果迁移到 Streamable HTTP 后，我的 MCP Server 从"只能在自己电脑上用"变成了"团队的 DevOps 工具链"。{“jsonrpc”: “2.0”, “id”: 1, “method”: “tools/call”, “params”: {“name”: “get_weather”, “arguments”: {“city”: “北京”}}}跑第一个 server 时

这还不是最让人头疼的。一个被污染的 MCP server，就等于在开发者的机器上开了一个后门。拿某个文件系统操作的 server 来说，它的工具列表里写着 read、write、search、get_file_info，但 host 端根本不会限制 server 只能访问某个特定目录——server 自己说能读哪儿就写哪儿，host 全盘信任。试想一下，如果你的代码里恰好有数据库密码，MCP se