MCP 安全與權限管理：讓 AI 操作你的工具而不失去控制

MCP 安全管理的核心框架：（1）最小化每個 Server 的授權範圍；（2）讀寫分離——讀取可直接執行，寫入需要確認；（3）高風險操作（刪除、對外發送）設置確認步驟；（4）測試用獨立帳號；（5）定期清理未使用的 Server 授權。針對提示詞注入，在 Claude 讀取外部內容前加入警示指令。整體原則：用「如果出錯我有多後悔」來決定操作需要多少人工確認。

提示詞注入（Prompt Injection）為什麼是真實的 MCP 安全風險？當 Claude 讀取你讓它存取的外部內容（網頁、Email、文件），攻擊者可以在這些內容裡嵌入「偽裝成普通文字的 AI 指令」，試圖讓 Claude 執行你沒有意圖的操作。這不是理論上的風險——已有研究者在真實環境裡證明這種攻擊的可行性。Claude 的訓練有一定的防禦，但不是完美的。在 Agentic 場景下（Claude 能做真實操作），提示詞注入的潛在影響比純聊天場景嚴重得多。

「讀寫分離」原則為什麼是最重要的單一安全措施？因為絕大多數 MCP 相關的意外，都是「寫入」操作出了問題（刪除了不應該刪的、修改了不應該改的），而不是「讀取」操作出了問題。讀取是低風險的——即使 Claude 讀到了它不應該讀的內容，也只是資訊暴露問題，不會直接造成破壞。把讀取和寫入拆開對待，能把 90% 的高風險場景都過濾掉，讓你在真正需要的地方做確認，而不是對每個操作都設置繁瑣的確認流程。

立即能做的安全改進：在你的 Claude Project Instructions 裡（如果還沒有 Project，建立一個），加入這段基本的寫入保護規則：「在執行任何修改、刪除或發送操作之前，先告訴我你打算做什麼，等我確認後再執行。讀取操作可以直接執行。」這一行設定，能在大多數意外操作發生前給你一個攔截點，代價是零，但能提供有意義的保護。