0x0 题记
这世上有两种死法。一种是真死,盖棺定论,烧纸钱。另一种是"MCP式"的死——每天有一百个人在网上宣布你已死透,你却顶着九千七百万月下载量继续喘气。
后者更难受,因为你自己也不知道算不算活着。
0x1 一篇博文引发的血案
故事要从2026年2月28日说起。一个叫Eric Holmes的工程师发了篇文章,题目叫"MCP is dead. Long live the CLI",往HackerNews上一扔,然后就去睡觉了。
他没想到,他炸了一个马蜂窝。
几天之内,那篇帖子爬上HN首页,评论区变成了一场跨越时区的集体骂街大会。开发者们分成两派,互相用技术黑话论战,场面一度比大选评论区还热闹。
这还不算完。2026年3月11日,Perplexity的CTO Denis Yarats在Ask 2026大会上当众宣布,公司正在内部把MCP换回REST API和CLI。就好像一家餐厅的主厨在美食节上公开说,我们店以后不用那个新牌子的刀了,还是用老菜刀顺手——当场让整条街的人都愣住了。
YC的CEO Garry Tan看到这条消息,在X上转发,附了几个字:"MCP sucks honestly",再补了一刀:上下文窗口吃得太猛,身份验证是一团乱麻,他自己花30分钟写了个CLI封装器,反而更好使。
然后就没有然后了。互联网的传播速度你懂的,"MCP已死"的结论在技术圈像病毒一样扩散,机翻进了各种AI群,最终在标题党的加工下变成了"Anthropic的MCP被判死刑"。
这就是传播学。一个工程师的吐槽,经过几个月的接力,变成了一场葬礼直播。
0x2 但凡事得说个"但是"
然而,这里有个让人不太舒服的数字:MCP的月SDK下载量,截至2026年Q1,已经超过九千七百万次,注册的公开服务器突破了一万七千个。
一个"死了"的东西,拉着这么多人陪葬,显然说不过去。
更复杂的是,Google拿出了完全托管的远程MCP服务器;Linux Foundation成立了Agentic AI Foundation专门来接管这个协议的治理;Meta在大会上宣布工具支持MCP;Uber的工程师在峰会主题演讲上说,"MCP不仅没死,它正是让AI在Uber真正有用的原因",并展示了他们的MCP Gateway和Registry。
所以MCP到底是死是活?
这问题有点像问一个中年人"你还好吗"——本人挺着,但里面确实出了点问题。
0x3 说说那个"点问题"有多严重
问题是真实的,而且不算小。
先说context window。工程师们实测过:三台MCP服务器(GitHub、Playwright、IDE集成)在一个200K上下文的模型里,光工具定义就烧掉了143,000个token——占了72%的预算。对话还没开始,上下文就去了大半。GitHub官方的MCP Server光工具描述就需要55,000个token以上。剩下的28%,你打算让AI做什么?
值得注意的是,那个著名的72%数字,并非Perplexity自己测量的,而是来自API集成公司Apideck的实测案例。但数字是真实的,问题是真实的,只是"Perplexity证明MCP浪费72%上下文"这个说法,在传播过程中把来源搞混了。这个细节说明:一个协议的死刑判决,有时候比协议本身跑得还快。
再说安全。2026年4月15日,安全公司OX Security发布披露报告,发现了一个他们称为"AI供应链史上最严重漏洞"的东西——MCP的STDIO传输机制在架构层面允许攻击者通过任意进程命令在宿主机执行任意代码。受影响范围涵盖1.5亿次SDK下载、超过七千台公开服务器,以及约二十万个暴露实例,涉及14个已分配的CVE,覆盖LiteLLM、LangFlow、Flowise、Windsurf、Cursor等主流工具。
更戏剧性的是Anthropic的回应:这是"expected behavior"(预期行为),不打算修改协议架构。
这两个英文单词,现在已经成为2026年AI安全圈最广为流传的梗之一。
一个月后,Anthropic悄悄更新了安全文档,补了一句话:MCP的STDIO适配器"应谨慎使用"。OX Security的回应是:一句文档注释,解决不了任何问题,它只是把"记住这个警告"的责任,推给了每一个从现在起使用这个SDK的开发者。
这就是所谓的"owning the stack"——拥有这个栈的人,拥有了定义什么是缺陷的权力。
0x4 更大的乱子:不只是MCP在打架
MCP的问题,只是一出大戏的序幕。真正的混战在它背后。
整个中心化AI基础设施层,正在进行一场没有裁判的协议战争。
Anthropic主推MCP,现在移交给了Linux Foundation,但架构问题还在原地;Google推出了A2A(Agent-to-Agent)协议,专门搞agent之间的通信,顺手在2025年8月把IBM的ACP协议也并了进来;OpenAI在MCP基础上偷偷加了私有_meta字段,造出了自己的"方言";Mistral在2026年5月28—29日的AI Now Summit上宣布要建一套full-stack的垂直整合方案,从模型到数据中心到应用一条龙,从法国Les Ulis的10MW推理数据中心出发,目标是2030年拿下1GW计算能力,顺手喊出"欧洲AI主权"的口号。
还有CLI路线逆流而上:一部分开发者在这场协议战争里彻底失去了耐心,退回到最简单的命令行风格,拒绝任何额外的抽象层。
不只是协议打架。连"AI如何读代码库"这一层都碎了:Claude要CLAUDE.md,Cursor要.cursorrules,GitHub Copilot要.github/copilot-instructions.md,Windsurf要.windsurf/rules,Google的Jules要JULES.md,Cline要.clinerules……还有各种声称要"统一标准"的AGENTS.md和llms.txt,目前都只统一了一件事:没有人听另一个人的。
然后有人开源了tiny-vLLM——一个用C++和CUDA写的轻量推理引擎教学项目,支持Llama 3.2 1B,实现了KV缓存、PagedAttention等核心功能,任何有一定C++基础的开发者都可以自己搭一套。这个项目本身不大,但它传递的信号很清楚:连推理引擎都在向下民主化,基础设施的话语权正在从巨头手里往外漏。
这景象,让人想起历史上某些朝代末年的诸侯割据。每个人都说自己是正统,每个人都有自己的一亩三分地,就是没有一个人真的管得了全局。
0x5 反转在这里
现在说说另外一批人。
当中心化AI的大佬们为了协议标准打得不可开交,有一群人一直在旁边认真记笔记。
这群人叫做去中心化AI(DeAI)从业者。
他们的逻辑很直接:你们打,打得越乱越好。中心化协议越碎片化,用户和开发者就越渴望一个不依赖任何单一厂商的基础层。而这,恰好是区块链+AI这条路线天然擅长的事情。
0x6 Bittensor的大戏:英雄与叛徒
去中心化AI圈,2026年最精彩的戏码发生在Bittensor。
先说好的那面。2026年3月,Bittensor生态里的Covenant AI宣布在去中心化网络上完成了一件大事:训练出了Covenant-72B,一个72.7亿参数的大语言模型。参与节点超过70个,跑在分布在全球的通用硬件上,无需任何许可,用一个叫SparseLoCo的技术把节点间通信开销压缩了146倍。这个规模,通常只有OpenAI、Google这种量级的公司才做得到。英伟达CEO黄仁勋给出了高度评价,机构资本开始涌入,TAO价格在3月几乎翻了一倍,Grayscale随即向SEC提交了S-1修正文件,申请将旗下Bittensor Trust转换为可在NYSE Arca挂牌的ETF。
看起来是个完美的去中心化胜利故事,对吧?
然后就出事了。
2026年4月10日,Covenant AI创始人Sam Dare在X上发文宣布离开Bittensor,并附上了一篇措辞激烈的声明。原因:Bittensor联合创始人Jacob Steeves对网络拥有实际上的绝对控制权,随意切断子网的代币奖励,所谓的"三方共治"治理结构只是一个精心设计的幌子。链上数据随即证实:2023年至2026年间,Bittensor的41次网络升级里,有38次是由Steeves控制的基础设施发起的,其他两个签名者几乎在几分钟内就跟着签字,没有任何公开讨论。
Dare的原话是:"It is decentralization theatre"(去中心化剧场)。
Covenant AI随即出售了约3.7万枚TAO,套现约1020万美元。TAO代币在24小时内暴跌超过25%,近9亿美元市值灰飞烟灭,大量多头被强平。
好,你以为这是一个"去中心化AI骗局被揭穿"的故事结尾?
还没完。
Covenant AI能够公开发声、带走自己的模型和算力、自主做出退出决定并大方曝光——这件事本身,恰恰证明了去中心化系统的某种真实能力。在一个完全封闭的中心化系统里,你连发这封公开信的权利都不一定有。Grayscale在治理危机之后,反而把TAO在其去中心化AI基金的持仓比例提高到了43.06%,ETF的申请仍在推进,SEC预计2026年8月给出裁定。
一场治理危机,机构资本看完了给出的判断是:加仓。
历史告诉我们,真正的基础设施都是在危机里淬炼出来的。Bittensor的这场风波,不是去中心化AI失败的证明,而是它正在从叙事走向真实博弈的标志。
0x7 别的选手也在场
当然,场上不只有Bittensor。
Fetch.ai和SingularityNET、Ocean Protocol合并组成的ASI Alliance,是去中心化AI领域最重要的生态整合。Agentverse平台上已经注册了超过270万个AI代理,2026年5月推出的Agent Launch平台,让AI代理可以在无需人类创始人的情况下,自己发行代币、融资、上交易所。这件事听起来很科幻,但它实际上在问一个问题:当AI成为经济主体,Web3是不是它最自然的居住地?
再说底层计算层。去中心化GPU网络已经不是概念了。Render Network市值超过15亿美元,提供H200、H100的计算时间;Akash Network是一个开放的反向拍卖计算市场,GPU提供者互相竞争压低价格;Gensyn用proof-of-learning机制来验证计算是否真实执行,2026年4月29日刚上了主网,代币TGE当天飙升250%然后回调40%,完成了加密市场的标准出道仪式。
还有更硬核的一层。Phala Network用TEE(Trusted Execution Environment,可信执行环境)提供机密AI推理——工作负载在Intel TDX或NVIDIA机密GPU的硬件黑盒里完成,连节点运营者本人都看不到里面发生了什么。每次推理返回一个可独立验证的attestation(远程证明),这不是承诺,是密码学事实。这针对的,正是MCP那个无法修复的信任漏洞:你让中心化大模型连接本地数据库,大厂就能看见你的数据。Phala说:我给你一个物理上无法偷看的黑盒。
Ritual走的是另一条路:zkML,用零知识证明来验证AI推理结果。不是信任某人说"我运行了这个模型",而是提交一个密码学证明,任何人都可以验证"这个结果确实是由这个模型、按照这个输入算出来的"。在AI代理开始自主执行金融交易的今天,"无需信任但可验证"这六个字,正在从学术概念变成决定企业采用率的底层竞争力。
0x8 中心化vs去中心化:这不是一场零和游戏
现在,可以说点不那么煽情的话了。
去中心化AI没有在"干掉"中心化AI,也不该这么想。这是两条平行的基础设施栈,解决不同层次的问题。
中心化AI会继续主导消费级产品和企业内部快速部署,因为它简单、方便、有强大的工程团队兜底。MCP没有死,它只是在退出"万能标准"的幻觉,回归到它真正适合的位置——企业级工具访问治理层,而不是AI通信的唯一语言。
去中心化AI的价值主张,在以下几个场景里变得越来越清晰:标准无法统一的时候(当前);单点信任带来风险的时候(参见MCP的RCE漏洞与Anthropic的"expected behavior");成本压力逼迫寻找替代算力的时候(去中心化GPU网络比AWS便宜30%-70%);以及,当AI代理开始自主经济行为的时候(去中心化网络是它的天然栖息地)。
0x9 尾声
回到开头那个问题:MCP死了没有?
如果你问的是协议本身,它没有死,但它失去了"统一AI基础设施"的幻觉。这个幻觉死了。
如果你问的是"一个中心化巨头可以制定一套协议让所有人心甘情愿遵守"这件事,那也死了,而且死得彻底。Google有A2A,OpenAI有私有方言,Mistral有自己的full-stack大梦,没有一家愿意真正把话语权交出去。
这种死法,在互联网历史上见过很多次。每一次,留下的真空里,最终长出来的东西都比之前那个更基础、更开放、更难被单一力量控制。
Bittensor、Akash、Phala、Ritual这些东西,正在那个真空里生长。它们不完美,有治理危机,有代币暴跌,有合约漏洞,有各种人性的缺陷。但它们用透明的规则博弈,而不是用黑箱藏问题。
这一点,和Anthropic把设计级RCE漏洞定性为"expected behavior"的那个回应,形成了一种耐人寻味的对比。
不是谁打败了谁。是一部分问题,找到了它更合适的解法所在的地方。
窗口已经打开。
