MCP vs CLI是一场错误的辩论

我们刚给了一个AI代理对staging环境的无限制CLI访问权限。安全团队是从Slack告警中得知的——而不是治理审查。

这就是当前在Medium和Hacker News上铺天盖地的"MCP vs CLI"辩论背后的真实故事。

CLI就是没有治理层的MCP。MCP为代理提供结构化的、基于schema的工具访问。CLI给代理完全相同的访问权限——只不过是通过人类会键入的bash命令。唯一的区别？CLI完全跳过了审计追踪。

问题从来不是"用哪个协议"。问题是：谁在监管？

NIST刚刚启动了他们的AI代理标准计划，发布了一篇关于"软件和AI代理身份识别与授权"的草案。仔细读这个标题。身份识别。授权。不是"代理应该用哪种RPC格式"。

政府用一篇论文就搞清了技术社区争论了几个月的事情：问题不在工具接口，而在信任架构。

从构建企业AI代理的经验来看，以下是我在每次部署中看到的：

一个代理能读你的数据库，不代表它应该读。CLI代理继承开发者的权限——所有权限。没有范围限定，没有审计追踪，没有撤销机制。

当人类执行CLI命令时，有一个人在决定执行什么。当代理执行时，决策循环是不可见的。大多数组织无法回答："代理做了什么，为什么？"

企业中平均每个员工有144个非人类身份。AI代理即将让这个数字增加10倍。而且大多数代理没有自己的身份——它们伪装成部署它们的人。

MCP vs CLI的辩论，就像争论你的实习生应该走前门还是后门。真正的问题是：实习生到底该不该有钥匙？而且谁在看监控？

协议是水管。治理才是产品。