這週科技圈又有幾個有夠猛的進展——Pinterest 用上生產級 MCP 生態系統、Chrome 又被爆零日漏洞、MCP 供應鏈安全拉警報、OpenAI 併購力道凶猛,以及 Red Hat 帶著 MCP Server 開發者預覽版現身。

Pinterest 部署生產級 MCP 生態系統

Pinterest 工程團隊最近釋出了他們的生產級 MCP 生態系統細節,有夠扯欸。他們不是只搞個玩具出來,而是打造了完整的基礎設施,整合 Presto、Spark、Airflow 等領域特定的伺服器,配上中央註冊表和人工審核治理機制。

數字會說話:月均 66,000 次呼叫、844 個活躍使用者,每個月幫公司省下 7,000 小時。這表示 MCP 已經從「有趣的實驗」升級成真實生產系統,開始在大規模工程團隊的日常工作流中發揮實際價值。這對整個 MCP 生態發展是個正面信號。

原文來源:Pinterest engineering brings MCP to production scale

Chrome 零日漏洞 CVE-2026-5281 遭實際利用

Google 又挨了一刀。CVE-2026-5281 是 Dawn(WebGPU 底層引擎)裡的 use-after-free 漏洞,現在已經被實際利用,4 月 1 日被 CISA 加入公開漏洞目錄。影響版本包括 Chrome < v146.0.7680.177/178。

這是 Google 2026 年爆出的第 4 個遭實際利用的零日漏洞。瀏覽器安全的軍備競賽真的沒完沒了,用戶最實際的防守就是保持更新。

原文來源:New Chrome Zero-Day CVE-2026-5281 Under Active Exploitation

MCP 工具投毒攻擊——AI Agent 供應鏈隱患浮現

Invariant Labs 揭露了一個 MCP 生態的新威脅:工具投毒攻擊(Tool Poisoning)。駭客可以在 MCP 工具描述裡埋入惡意指令,AI Agent 會直接執行,導致行為被劫持、資料外洩,甚至信任的伺服器都被推翻。最恐怖的地方是這些隱藏標籤對使用者不可見,但 AI 模型會處理它們。

這踩到了 AI Agent 供應鏈安全的關鍵痛點。隨著 Agent 越來越多人用,整個工具生態的信任模型需要重新審視。這不只是 Pinterest 要考慮的問題,所有採用 MCP 的組織都要小心防範。

原文來源:MCP Security Notification: Tool Poisoning Attacks

OpenAI 2026 年已完成 6 筆併購——接近去年全年速度

OpenAI 的併購動作真香。2026 年至今已經併購 6 家公司,幾乎等於去年全年的速度。其中包括 Astral(開源開發者工具)和 Promptfoo(AI 安全測試,擁有 12.5 萬以上開發者用戶、逾 30 家財富 500 大企業客戶)。

在 17 筆併購案中,有 8 筆涉及開源軟體,說明 OpenAI 在默默建立 Codex 生態系統。這個收購策略很聰明——不是為了技術本身,而是為了搶佔開發者工具鏈的關鍵節點,讓 AI 深入工程師日常工作流。

原文來源:OpenAI’s 2026 Acquisition Strategy: Building Open-Source Dominance

Red Hat 推出 RHEL MCP Server 開發者預覽版

Red Hat 最新宣布針對 Red Hat Enterprise Linux 的 MCP Server 開發者預覽版上線。這把 MCP 帶進企業級 Linux 管理領域,意味著大型企業基礎設施管理也要開始擁抱 AI Agent 時代。

從 Pinterest 的大規模部署、安全威脅的出現、OpenAI 的併購佈局,到現在 Red Hat 的企業級支援,MCP 生態正在快速從創新實驗進入主流應用。接下來幾個月應該會有更多企業級玩家跳進來。

原文來源:Red Hat Announces Developer Preview for New MCP Server for Red Hat Enterprise Linux

MCP 生態真的在風口上,同時安全問題也浮上檯面。下週應該還會有更多相關發展。