用MCP先筛文件再读取
Due_Resolve6229 · reddit · 2026-07-11
作者提出一个用于文件读取前置筛查的 MCP server:让 agent 先经过一个**不会被 prompt injection 影响**的观察层,再决定是否真正读取文件。 核心设计是把文件当作纯字节对象来做 deterministic pre-screen:先看类型、大小、结构、元数据和目录清单,不让 LLM 直接解释文件内容。这样即使文件里藏着恶意指令,也只会被当成普通字节,不会直接进入模型推理。 他还指出一个 MCP 特有的坑:如果把敏感词表作为 tool argument 传给模型,反而会把这些词暴露在模型上下文里;因此 lexicon 必须在 server 启动时加载,不能让调用方构造。作者也明确说明,这只是前置筛查,不是绝对安全边界。