"MCP is Dead" vang lên ở Thung lũng Silicon

Model Context Protocol (MCP) — giao thức chuẩn do Anthropic công bố vào tháng 11 năm 2024 nhằm kết nối các mô hình AI với công cụ và nguồn dữ liệu bên ngoài — đang hứng chịu làn sóng phản đối dữ dội quét qua Silicon Valley. CEO của Y Combinator, Garry Tan, thẳng thắn tuyên bố: "MCP thật sự tệ. Nó ngốn quá nhiều context window", và khẳng định một CLI wrapper tự làm trong 30 phút còn "tốt hơn 100 lần". CTO của Perplexity, Denis Yarats, tại hội nghị Ask 2026 vào tháng 3 năm 2026 đã thông báo công ty chuyển hệ thống nội bộ từ MCP sang REST API và CLI. Pieter Levels tweet rằng: "Thật may khi MCP đã chết. Đó là một lớp trừu tượng không cần thiết cho AI." Những chỉ trích kỹ thuật rất nghiêm trọng. MCP server của GitHub công khai 93 công cụ và inject khoảng 55.000 token định nghĩa schema vào context trước khi người dùng nói bất kỳ điều gì. Theo benchmark của Scalekit, lượng token MCP tiêu thụ cho cùng một tác vụ gấp 4–32 lần so với CLI, và chi phí hàng tháng cao hơn tới 17 lần. Về độ tin cậy, CLI đạt 25/25 lần thành công (100%), trong khi MCP chỉ đạt 18/25 lần (72%). Về bảo mật, tình hình còn nghiêm trọng hơn: MCP Inspector chính thức của Anthropic bị phát hiện có lỗ hổng RCE nghiêm trọng (CVE-2025-49596, CVSS 9.4); mcp-remote tồn tại lỗ hổng command injection (CVE-2025-6514, CVSS 9.6) với hơn 437.000 lượt tải xuống. Invariant Labs đã công bố bản demo tấn công tool poisoning để đánh cắp toàn bộ lịch sử WhatsApp; trong các cuộc tấn công rug-pull qua MCP, định nghĩa công cụ bị thay đổi âm thầm sau khi cài đặt nhằm lấy cắp AWS access key. Khảo sát của Astrix Security cho thấy 43% MCP server được kiểm tra có lỗ hổng command injection, 53% phụ thuộc vào static secret không an toàn, và chỉ 8,5% triển khai xác thực OAuth bảo mật. Ngược lại, phương pháp CLI vốn là "ngôn ngữ bản địa" của các LLM được huấn luyện trên hàng tỷ thao tác terminal, và chỉ cần 200 token để khởi tạo. Sự đồng thuận trong cộng đồng kỹ thuật đang hội tụ về kết luận: "MCP không chết, mà vai trò của nó đang được thu hẹp đúng mức" — vẫn hữu ích trong các môi trường doanh nghiệp cần xác thực đa người dùng và quản trị, nhưng với các nhà phát triển solo hoặc những trường hợp cần tối ưu chi phí, CLI và REST API vượt trội một cách áp đảo.

MCP là gì——Lời hứa về "Cổng USB-C của AI"

Model Context Protocol (MCP) là một giao thức mã nguồn mở được Anthropic công bố vào ngày 25 tháng 11 năm 2024. Giao thức này cung cấp một giao diện tiêu chuẩn hóa để các mô hình AI kết nối với các công cụ, nguồn dữ liệu và dịch vụ bên ngoài, thường được ví như "cổng USB-C dành cho các ứng dụng AI". Về mặt kỹ thuật, MCP sử dụng JSON-RPC trên lớp truyền tải stdio hoặc HTTP (SSE/Streamable HTTP).

Trước khi MCP ra đời, để các mô hình AI có thể truy cập các công cụ bên ngoài, người ta phải viết mã tích hợp tùy chỉnh cho từng công cụ riêng lẻ. MCP hứa hẹn giải quyết "bài toán N×M" này (tức là tổ hợp giữa N mô hình AI và M công cụ) thông qua chuẩn hóa. Đà phát triển được đẩy mạnh vào tháng 3 năm 2025 khi OpenAI chính thức tích hợp MCP vào ứng dụng desktop ChatGPT, tiếp theo là bản sửa đổi thông số kỹ thuật kỷ niệm một năm vào tháng 11 năm 2025 và việc trao tặng cho Agentic AI Foundation (AAIF) thuộc Linux Foundation vào tháng 12 năm 2025. Hệ sinh thái đã phát triển thành một quy mô khổng lồ với số lượt tải SDK hàng tháng đạt 97 triệu lượt, hơn 17.000 máy chủ MCP được lập chỉ mục và hơn 300 client đang hoạt động.

Tất cả các nhà cung cấp AI lớn——Anthropic, OpenAI, Google, Microsoft, Amazon——đều hỗ trợ MCP, và giao thức này dường như đã xác lập vị trí là tiêu chuẩn của ngành.

Lập luận của phe ủng hộ MCP — Tại sao nó được chấp nhận

Những người ủng hộ MCP lập luận về giá trị của giao thức này bằng cách nêu ra các ưu điểm sau.

Thứ nhất, giá trị như một tiêu chuẩn toàn cầu. Việc tất cả các nhà cung cấp AI hàng đầu đều áp dụng có nghĩa là các nhà phát triển công cụ chỉ cần triển khai một MCP server một lần là có thể sử dụng được từ bất kỳ AI client nào. Đây là lập luận kinh điển rằng việc chuẩn hóa giao thức sẽ nâng cao hiệu quả của toàn bộ hệ sinh thái một cách đột phá, giống như HTTP đối với web hay USB đối với thiết bị ngoại vi.

Thứ hai, khung bảo mật. Xác thực theo từng người dùng dựa trên OAuth 2.1, quyền truy cập có phạm vi (scoped permission) và nhật ký kiểm toán đều được tích hợp sẵn. Trong môi trường doanh nghiệp, cơ chế cho phép mỗi người dùng truy cập công cụ bằng quyền hạn của chính mình và ghi lại toàn bộ thao tác là điều không thể thiếu, và MCP đã chuẩn hóa điều này.

Thứ ba, quy mô của hệ sinh thái. Các con số — 97 triệu lượt tải SDK hàng tháng, hơn 17.000 server, và 143.000 thành phần AI có thể thực thi — cho thấy hiệu ứng mạng lưới đã vượt qua điểm tới hạn.

Thứ tư, quản trị trung lập với nhà cung cấp. Việc được hiến tặng cho AAIF thuộc Linux Foundation đã giải phóng MCP khỏi sự kiểm soát của riêng Anthropic, biến nó thành tài sản chung của toàn ngành.

Những lập luận này thoạt nhìn có vẻ thuyết phục. Tuy nhiên, vào đầu năm 2026, từ tuyến đầu của cộng đồng kỹ thuật đã bùng lên làn sóng chỉ trích rằng những lời hứa đó đang xa rời thực tế.

"MCP thật sự tệ" — Tuyên bố của Garry Tan, CEO Y Combinator

Vào tháng 3 năm 2026, sự bất mãn đối với MCP tại Thung lũng Silicon bùng phát mạnh mẽ.

Một trong những người châm ngòi là Garry Tan, CEO của Y Combinator. Ông Tan công khai tuyên bố: "MCP thực sự tệ (MCP sucks honestly). Nó ngốn quá nhiều cửa sổ ngữ cảnh và phải liên tục bật tắt." Ông còn cho biết chỉ trong 30 phút, ông đã vibe-code xong một CLI wrapper "tốt hơn 100 lần". Việc CEO của một trong những chương trình tăng tốc khởi nghiệp lớn nhất thế giới chỉ trích trực tiếp một giao thức đến mức đó là điều hiếm có, và đã tạo ra làn sóng phản ứng trong toàn bộ hệ sinh thái khởi nghiệp.

Cùng thời điểm đó, Denis Yarats, CTO của Perplexity, đã thông báo tại hội nghị Ask 2026 rằng Perplexity đang tiến hành loại bỏ MCP khỏi các hệ thống nội bộ. Ông Yarats nêu lý do: overhead của tool schema tiêu tốn 40–50% cửa sổ ngữ cảnh khả dụng, và sự phức tạp trong xác thực tạo ra ma sát trong quá trình triển khai. MCP chỉ được tiếp tục hỗ trợ cho các trường hợp sử dụng hạn chế (ví dụ: truy cập tìm kiếm Perplexity từ Claude Desktop). Thông báo này đã trở nên "viral điên cuồng" trên X.

Nhà khởi nghiệp nối tiếp Pieter Levels đăng tweet: "Tôi mừng vì MCP đang chết. Đó là một ý tưởng vô dụng không kém gì llms.txt. AI đã thông minh như con người rồi, vậy thì hãy dùng thứ đã có sẵn ở đó — tức là API — như vốn dĩ của nó."

Những tiếng nói này không phải là ý kiến đơn lẻ. Bài đăng blog "MCP is dead. Long live the CLI" của kỹ sư hạ tầng Eric Holmes, được công bố vào ngày 28 tháng 2 năm 2026, đã đạt top Hacker News. Lập luận "Điều LLM thực sự giỏi là tự mình tìm hiểu vấn đề. Chỉ cần cung cấp CLI và tài liệu là đủ" đã nhận được sự đồng cảm rộng rãi.

"Ăn sạch" cửa sổ ngữ cảnh — Sự chênh lệch đáng kinh ngạc trong mức tiêu thụ token

Trọng tâm của làn sóng chỉ trích MCP nằm ở vấn đề tiêu thụ token. Và những con số thật sự gây sốc.

Theo benchmark do Scalekit thực hiện năm 2026 với Claude Sonnet 4, với một tác vụ đơn giản là lấy ngôn ngữ và giấy phép của repository, CLI tiêu thụ 1.365 token trong khi MCP tiêu thụ tới 44.026 token — chênh lệch 32 lần. Với tác vụ lấy chi tiết và review pull request là 20 lần, lấy metadata và hướng dẫn cài đặt repository là 9 lần, tổng hợp PR đã merge theo contributor là 7 lần. Ngay cả tác vụ có khoảng cách nhỏ nhất — "lấy bản phát hành mới nhất và các dependency" — cũng có chênh lệch đến 4 lần.

Nguyên nhân cốt lõi của sự chênh lệch này nằm ở chính thiết kế của MCP. MCP server của GitHub công khai tới 93 công cụ, và khi bắt đầu phiên làm việc, khoảng 55.000 token định nghĩa schema được inject vào context. Trước khi người dùng gõ một từ, phần lớn cửa sổ context đã bị lấp đầy bởi các định nghĩa công cụ. Một nhóm nghiên cứu báo cáo rằng trong cửa sổ context 200.000 token, có tới 143.000 token (72%) bị tiêu thụ bởi định nghĩa công cụ. MCP server cho database (106 công cụ) tiêu thụ tới 54.600 token chỉ riêng cho việc khởi tạo. Phân tích từ framework MCPGauge xác nhận rằng có những trường hợp việc thu thập context của MCP làm phình to ngân sách token lên tới 236 lần.

Quy đổi ra chi phí hàng tháng, với 10.000 lần thao tác tính theo giá Claude Sonnet 4: CLI tốn khoảng 3,20 USD, còn MCP tốn khoảng 55,20 USD — chênh lệch chi phí 17 lần. Dù có áp dụng schema filtering qua gateway, con số cũng chỉ giảm xuống khoảng 5 USD, vẫn không thể sánh với sự đơn giản của CLI.

"CLI đạt 100%, MCP đạt 72%"——Dữ liệu thực đo về độ tin cậy và tốc độ

CLI không chỉ vượt trội về chi phí, mà còn về độ tin cậy và tốc độ.

Trong các bài kiểm tra độ tin cậy, CLI thành công 25/25 lần (100%), trong khi MCP chỉ thành công 18/25 lần (72%). 7 lần thất bại của MCP là do timeout ở cấp TCP khi kết nối đến máy chủ Copilot MCP của GitHub.

Trong benchmark tự động hóa trình duyệt, chỉ số Token Efficiency Score (TES) của CLI agent là 202,1, còn MCP agent là 152,3 — CLI vượt trội hơn 33%. Về điểm hoàn thành tác vụ, CLI ghi nhận mức cao hơn 28%. Đáng lo ngại hơn nữa là hiệu suất của LLM có tương quan âm với kích thước context. Càng tích hợp nhiều MCP, độ chính xác càng giảm. Trong bài kiểm tra trên Tau-Bench, Claude 3.7 Sonnet chỉ đạt tỷ lệ thành công 16% với tác vụ đặt vé máy bay cơ bản.

CLI hoàn tất khởi tạo với 200 token, trong khi MCP yêu cầu hơn 10.000 token. Sự chênh lệch này xuất phát từ việc LLM được huấn luyện trước trên hàng tỷ dòng dữ liệu thao tác terminal, khiến CLI thực chất là "ngôn ngữ bản địa" của LLM. Chỉ cần cung cấp tài liệu cho công cụ CLI, LLM có thể tự mình hiểu cách sử dụng. Việc MCP inject 55.000 token schema chỉ là giải thích lại một cách dư thừa những gì LLM đã biết.

Lỗ hổng bảo mật nghiêm trọng quá mức——Chuỗi CVE

Các vấn đề bảo mật của MCP còn nghiêm trọng hơn cả chi phí. Số lượng và mức độ nghiêm trọng của các lỗ hổng được phát hiện cho thấy những khiếm khuyết cơ bản trong thiết kế của giao thức.

CVE-2025-49596 (CVSS 9.4, Critical). Lỗ hổng trong công cụ phát triển MCP Inspector chính thức của Anthropic, được Oligo Security Research phát hiện vào tháng 1 năm 2025. Khi một nhà phát triển đang chạy MCP Inspector truy cập vào một trang web độc hại, kỹ thuật DNS rebinding cho phép thực thi lệnh tùy ý trên máy phát triển. Thực thi mã từ xa không cần xác thực — máy của nhà phát triển bị kiểm soát hoàn toàn. Đã được vá trong phiên bản 0.14.1 bằng cách thêm session token và kiểm tra origin được phép.

CVE-2025-6514 (CVSS 9.6, Critical). Lỗ hổng trong OAuth proxy của mcp-remote, được phát hiện bởi JFrog. Trong gói này với hơn 437.000 lượt tải xuống, một authorization endpoint độc hại có thể chèn lệnh shell. Có nguy cơ tấn công chuỗi cung ứng ảnh hưởng đến các tích hợp với Cloudflare, Hugging Face và Auth0.

CVE-2025-68143/68144/68145. Ba lỗ hổng liên kết được phát hiện trong máy chủ Git MCP chính thức của Anthropic. Thông qua tệp .git/config độc hại, khi kết hợp với Filesystem MCP server có thể thực thi mã từ xa hoàn toàn.

CVE-2025-53109/53110 (Critical). Sandbox escape và symbolic link bypass trong Filesystem MCP cho phép truy cập tệp tùy ý và thực thi mã.

CVE-2025-64106 (CVSS 8.8). Lỗ hổng trong luồng cài đặt MCP của Cursor, cho phép kẻ tấn công thực thi lệnh tùy ý.

Tất cả những lỗ hổng này đều nằm trong các công cụ chính thức của Anthropic hoặc các thành phần cốt lõi của hệ sinh thái MCP, và không thể bị gạt bỏ như những vấn đề chất lượng của bên thứ ba.

Đầu độc công cụ và Rug Pull — Sự sụp đổ của mô hình tin cậy

Ngoài các lỗ hổng cấp độ CVE, các kỹ thuật tấn công vào chính mô hình tin cậy của MCP cũng đã được ghi nhận.

Vào tháng 4 năm 2025, Invariant Labs đã công bố một bản trình diễn tấn công đầu độc công cụ (tool poisoning). Nội dung gây chấn động: một máy chủ MCP độc hại nhúng các lệnh ẩn vào phần mô tả định nghĩa công cụ — người dùng không nhìn thấy nhưng LLM có thể đọc được — để âm thầm đánh cắp toàn bộ lịch sử WhatsApp của người dùng. Ngoài ra, kỹ thuật "cross-server shadowing" (bóng mờ liên máy chủ) cũng được chứng minh, trong đó máy chủ độc hại chặn và ghi đè các lời gọi đến các máy chủ đáng tin cậy.

Tấn công rug-pull còn tinh vi hơn. Các công cụ MCP có thể thay đổi định nghĩa của chính mình sau khi cài đặt. Một công cụ trông có vẻ an toàn vào ngày đầu tiên có thể biến thành công cụ đánh cắp API key vào ngày thứ 7. Các MCP client không xác minh tính nhất quán của schema công cụ giữa các request. Một kỹ thuật cụ thể đã được ghi nhận: thêm AWS_ACCESS_KEY_ID dưới dạng "tham số bắt buộc" trong giữa phiên, khiến LLM trích xuất thông tin xác thực của người dùng và chuyển cho kẻ tấn công.

Vào tháng 9 năm 2025, một máy chủ MCP giả mạo Postmark xuất hiện, chỉ khác máy chủ thực một dòng, nhưng BCC toàn bộ email gửi đi cho kẻ tấn công — ảnh hưởng đến các email giao dịch qua pipeline tự động hóa AI. Vào tháng 10 năm 2025, tại dịch vụ lưu trữ MCP Smithery, một lỗ hổng path traversal trong smithery.yaml đã làm lộ token API của Fly.io, cho phép kiểm soát hơn 3.000 máy chủ MCP được lưu trữ.

Nhà nghiên cứu bảo mật Simon Willison nhận xét: "Lời nguyền của prompt injection là dù chúng ta đã nhận ra vấn đề từ hơn hai năm rưỡi trước, vẫn chưa có biện pháp giảm thiểu thuyết phục nào." Ông cũng cảnh báo về "bộ ba치명적 (lethal trifecta)" trong các tác nhân AI — quyền truy cập dữ liệu riêng tư, khả năng thực thi hành động, và tiếp xúc với nội dung không đáng tin cậy. Elena Cross mỉa mai: "Chữ 'S' trong MCP là chữ 'S' của Security" — trong khi MCP không hề có chữ S.

Cuộc khảo sát năm 2025 của Astrix Security đã dùng số liệu để phác họa bức tranh bảo mật toàn cảnh của hệ sinh thái MCP: 43% máy chủ MCP được kiểm tra có lỗ hổng command injection, 22% cho phép directory traversal, 30% hỗ trợ URL fetch không giới hạn, 53% phụ thuộc vào các secret tĩnh dài hạn không an toàn. Chỉ 8,5% triển khai xác thực OAuth an toàn. 36,7% có nguy cơ tiềm ẩn SSRF. 492 máy chủ MCP được phát hiện hoạt động công khai mà không có xác thực client lẫn mã hóa.

Lý do tại sao CLI vượt trội hơn hẳn — Từ góc nhìn kỹ thuật

Ưu thế của CLI so với MCP không chỉ dừng lại ở việc giảm chi phí. Nhìn từ góc độ kỹ thuật, cách tiếp cận CLI có những lợi thế mang tính cấu trúc.

Hiệu quả token. Khởi tạo CLI tốn khoảng 200 token. MCP tốn hơn 55.000 token. Với cùng một tác vụ, CLI hoàn thành với lượng token ít hơn từ 4 đến 32 lần. Điều này là do LLM được huấn luyện trên hàng tỷ dòng dữ liệu thao tác terminal, và "đã biết" ý nghĩa cũng như định dạng đầu ra của các lệnh như git log --oneline -5. MCP đang giải thích lại những gì LLM đã hiểu bằng các schema JSON dư thừa — về bản chất đây là sự lãng phí.

Độ tin cậy. CLI đạt tỷ lệ thành công 100% (25/25), MCP chỉ đạt 72% (18/25). Lệnh CLI là công nghệ đã được kiểm chứng qua 50 năm lịch sử, với các chế độ lỗi được hiểu rõ hoàn toàn. MCP là giao thức mới chạy qua mạng, mang theo các chế độ lỗi mới như timeout, lỗi xác thực, và sự không khớp schema.

Khả năng kiểm tra. Unix pipe là primitive khả kết hợp nguyên bản được hỗ trợ bởi 50 năm công cụ, trong đó mỗi bước đều có thể kiểm tra. CLI hỗ trợ native việc piping, chaining và redirect, giúp debug dễ dàng. Hoạt động nội bộ của MCP server là hộp đen, với khả năng quan sát thấp về những gì đang xảy ra.

Khía cạnh bảo mật. Công cụ CLI chạy trên máy local với quyền đã biết. MCP kết nối đến các server tùy ý qua mạng, với định nghĩa công cụ có thể thay đổi động — bề mặt tấn công lớn hơn hàng chục lần. Khi chạy git log qua CLI, lệnh đó sẽ không biến thành lệnh khác vào ngày hôm sau. Với MCP, điều đó có thể xảy ra.

Chi phí hàng tháng. Với 10.000 thao tác: CLI khoảng 3,20 USD so với MCP khoảng 55,20 USD. Tính theo năm là 624 USD so với 6.624 USD. Ở quy mô vận hành lớn, sự chênh lệch có thể lên đến hàng triệu đô la.

Cloudflare đã tự mình nhận ra vấn đề này và xây dựng phương án thay thế hoạt động với khoảng 1.000 token, được gọi là Code Mode. Tính năng tương đương đòi hỏi 244.000 token với schema native của MCP nay được thực hiện với lượng token ít hơn 250 lần. Với phương thức để agent tạo code và gọi API trực tiếp, mức giảm token lên đến 98% đã đạt được so với MCP.

Cảnh báo từ Technology Radar của Thoughtworks

Thoughtworks Technology Radar, một cơ quan có thẩm quyền trong lĩnh vực tư vấn công nghệ, đã phân loại "chuyển đổi API-to-MCP ngây thơ" vào danh mục Hold (không khuyến nghị áp dụng). Cách tiếp cận chuyển đổi trực tiếp các REST API hiện có thành máy chủ MCP được đánh giá là không mang lại hiệu quả như kỳ vọng. Đánh giá này củng cố cho lập luận rằng giá trị của MCP với tư cách là một giao thức không nằm ở ưu thế kỹ thuật, mà mang tính "xã hội học" — tức là người ta dùng nó đơn giản vì tất cả mọi người đều dùng.

Tim Kellogg chỉ ra rằng "mọi thứ có thể làm được với MCP đều có thể thực hiện bằng OpenAPI", và phân tích rằng tính tất yếu của MCP không xuất phát từ ưu thế kỹ thuật mà từ sự chấp nhận tập thể — nói cách khác, giá trị của nó mang tính xã hội học (sociological) chứ không phải kỹ thuật học (technological).

Cách tiếp cận cụ thể của phe chống MCP

Phe phản đối MCP đề xuất một số phương pháp thay thế cụ thể.

Tích hợp CLI trực tiếp. Cách tiếp cận của Eric Holmes — chỉ cần truyền cho LLM các công cụ CLI và tài liệu, còn lại để nó tự tìm hiểu. CLI khởi tạo với 200 token so với MCP inject schema hơn 55.000 token. LLM được huấn luyện trên hàng tỷ thao tác terminal, và CLI chính là "ngôn ngữ mẹ đẻ" của chúng.

Gọi REST API trực tiếp. Phương pháp mà Perplexity áp dụng. Nhóm báo cáo rằng chỉ cần "viết một wrapper công cụ nhỏ bọc mỏng quanh các REST API endpoint" là đủ. Các đặc tả OpenAPI hiện có có thể tận dụng ngay mà không cần học thêm giao thức mới.

Phương pháp AGENTS.md. Tiêu chuẩn do OpenAI khởi xướng và hiến tặng cho AAIF. Cung cấp hướng dẫn đặc thù cho từng dự án tới các AI agent. Được áp dụng trong hơn 60.000 dự án mã nguồn mở và các framework như Amp, Codex, Cursor, Devin, Gemini CLI, GitHub Copilot. Mặc dù bổ sung cho MCP, nhưng có luận điểm cho rằng trong nhiều trường hợp nó khiến MCP trở nên không cần thiết.

Triết lý Unix pipe. "Unix pipe là primitive khả năng kết hợp nguyên bản, được 50 năm tooling kiểm chứng, trong đó mỗi bước đều có thể kiểm tra được." Hỗ trợ sẵn pipe, chain và redirect mà không cần phát minh giao thức mới.

Phản luận của phe ủng hộ và lập luận rằng "chưa chết"

Để công bằng, chúng ta cũng cần ghi nhận những phản biện từ phía những người ủng hộ MCP.

Ông Elie Steinbock phản bác rằng: "Levels chưa từng sử dụng MCP theo cách thực sự hữu ích. MCP rất hữu dụng và hoàn toàn chưa chết." Việc Google công bố máy chủ MCP được quản lý toàn phần cho các dịch vụ đám mây, AWS cho ra đời cổng kết nối chuyển đổi mọi API sang MCP, và OpenAI tích hợp sâu hơn hỗ trợ MCP trên toàn bộ sản phẩm — tất cả những điều này ít nhất cho thấy các nền tảng lớn vẫn tiếp tục đặt cược vào MCP.

Ông Charles Chen, trong bài viết có tiêu đề "MCP is Dead; Long Live MCP!", lập luận rằng MCP dựa trên stdio cục bộ có nhiều vấn đề, nhưng MCP doanh nghiệp dựa trên HTTP lại có vai trò chính đáng. Thực tế là có những yêu cầu doanh nghiệp khó thực hiện chỉ bằng CLI, chẳng hạn như xác thực đa người dùng, nhật ký kiểm toán, và khả năng khám phá công cụ có cấu trúc.

Tuy nhiên, lập luận phản bác rằng "hữu ích cho mục đích doanh nghiệp" này, nhìn từ góc độ ngược lại, chính là thừa nhận rằng MCP không cần thiết đối với các nhà phát triển độc lập hay môi trường vận hành có ý thức về chi phí. Lời hứa ban đầu của MCP — "cổng USB-C cho AI" — là chuẩn hóa mọi kết nối công cụ AI. Việc lời hứa đó bị thu hẹp xuống còn "có thể dùng cho xác thực đa người dùng doanh nghiệp" tự nó đã củng cố luận điểm của phe chỉ trích.

Phản hồi của Anthropic——Lộ trình và giới hạn

Anthropic không im lặng trước những chỉ trích. Việc hiến tặng cho Linux Foundation vào tháng 12 năm 2025 nhằm đảm bảo tính trung lập của giao thức và xóa bỏ chỉ trích rằng nó "có thể thay đổi theo ý muốn của riêng Anthropic". Trong lộ trình năm 2026, các kế hoạch bao gồm: xác thực được quản lý cho doanh nghiệp (luồng tích hợp SSO), nhật ký kiểm toán và khả năng quan sát, mẫu gateway và proxy, HTTP transport không trạng thái cho khả năng mở rộng ngang, MCP Server Cards (khám phá metadata qua .well-known), cải tiến registry, và mô hình quản trị người đóng góp.

Tuy nhiên, một số nhà phê bình chỉ ra rằng Anthropic "đang chuyển giao trách nhiệm bằng cách hiến tặng cho Linux Foundation, trong khi các vấn đề bảo mật vẫn chưa được giải quyết". Việc đặc tả MCP trải qua ba lần sửa đổi lớn chỉ trong năm 2025 (tháng 3, tháng 6, tháng 11) cũng làm dấy lên lo ngại về tính ổn định của quá trình triển khai. Trong cộng đồng công nghệ Nhật Bản, có báo cáo cho rằng sự thay đổi đặc tả nhanh chóng này đang dẫn đến sự do dự trong việc áp dụng MCP.

Tác động đến ngành

Cuộc tranh luận "MCP is Dead" cho thấy câu trả lời của ngành đối với câu hỏi căn bản về kiến trúc kết nối công cụ AI — nên phát minh giao thức chuẩn mới hay tận dụng cơ sở hạ tầng hiện có — đang nghiêng về phía sau.

Thứ nhất, sự trỗi dậy của ý thức về chi phí làm thay đổi lựa chọn kiến trúc. Khi chi phí suy luận của LLM trở thành yếu tố chi phí chủ yếu trong vận hành AI, một giao thức tiêu tốn gấp 4 đến 32 lần token cho cùng một tác vụ là không bền vững. Khoảng cách 55,20 đô la so với 3,20 đô la mỗi tháng sẽ tạo ra chênh lệch hàng triệu đô la mỗi năm ở quy mô lớn. Khi các CFO bắt đầu xem xét kỹ chi phí vận hành AI, đặc tính "tiện lợi nhưng đắt đỏ" của MCP trở thành điểm yếu chí mạng.

Thứ hai, các vấn đề bảo mật trở thành rào cản lớn nhất cho việc áp dụng trong doanh nghiệp. Khảo sát của Astrix Security cho thấy 38% nhà xây dựng MCP cho biết mối lo bảo mật cản trở việc áp dụng, và thực tế 43% mục tiêu kiểm thử tồn tại lỗ hổng command injection khiến việc được CISO phê duyệt trở nên cực kỳ khó khăn. Đặc biệt, khả năng một công cụ đã được phê duyệt có thể biến đổi về sau — như trong các cuộc tấn công rug pull — nằm ngoài giả định của các mô hình bảo mật truyền thống và rất khó để đối phó.

Thứ ba, sự quay trở lại với CLI và REST API đang hình thành một văn hóa kỹ thuật mới. Việc các công ty tiên phong như Perplexity và Cloudflare rời bỏ MCP và chuyển sang CLI cùng lời gọi API trực tiếp cho thấy sự chuyển dịch trong các thực hành tốt nhất của ngành. Triết lý sử dụng trực tiếp những công cụ mà LLM "đã biết" tạo ra sự cộng hưởng với tư tưởng thiết kế Unix — loại bỏ các lớp trừu tượng không cần thiết — và nhận được sự ủng hộ rộng rãi từ cộng đồng kỹ thuật.

Thứ tư, vai trò của MCP thu hẹp nhưng không biến mất. Trong các tình huống đòi hỏi xác thực đa người dùng cho doanh nghiệp, vết kiểm toán và quản trị có cấu trúc, hiện tại không có tiêu chuẩn nào thay thế được MCP. Tuy nhiên, tầm nhìn ban đầu đầy tham vọng về "USB-C của AI" đã thu hẹp thành vai trò hạn chế hơn là "lớp tích hợp doanh nghiệp". MCP không chết — mà vị trí của nó đang được định nghĩa lại một cách chính đáng.

Thứ năm, tác động đến cộng đồng nhà phát triển Nhật Bản. Tại Nhật Bản, lo ngại về rủi ro bảo mật của MCP đặc biệt cao, với 60,2% người phụ trách thúc đẩy DX/AI bày tỏ quan ngại về bảo mật và quản trị MCP. Blog của GMO Flatt Security, báo cáo rủi ro máy chủ MCP công khai của Trend Micro Japan, và các bài viết của Nikkei xTECH về chuỗi lỗ hổng MCP cung cấp cơ sở để các doanh nghiệp Nhật Bản thận trọng trong việc áp dụng MCP. Mặt khác, phương pháp tiếp cận dựa trên CLI có sự tương đồng cao với văn hóa kỹ thuật Nhật Bản — đề cao sự tinh tế, hiệu quả chi phí và tính ổn định.

"Cái chết" của MCP, nói chính xác hơn, là cái chết của ảo tưởng về nó như một "công cụ vạn năng". Và thứ nổi lên thay thế là sự tái đánh giá của giao diện dòng lệnh — một công nghệ đã trưởng thành với hơn 40 năm lịch sử. Điều LLM giỏi nhất là "tự mình hiểu mọi thứ", và cách thực hiện điều đó với hiệu quả chi phí cao nhất chính là CLI. Schema injection 55.000 token của MCP cũng giống như nói với LLM: "Hãy để tôi dạy lại cho bạn những gì bạn đã biết." Và với sự dư thừa đó, cộng đồng kỹ thuật cuối cùng đã trả lời: "Không cần thiết nữa."

Tài liệu tham khảo: Eric Holmes "MCP is dead. Long live the CLI" (Tháng 2 năm 2026), Scalekit "MCP vs CLI: Benchmarking AI Agent Cost & Reliability" (2026), Phát biểu của Garry Tan CEO Y Combinator về MCP (Tháng 3 năm 2026), Thông báo của Perplexity CTO Denis Yarats tại Hội nghị Ask 2026, Phát biểu của Pieter Levels (@levelsio) trên Twitter/X, Nghiên cứu Oligo Security CVE-2025-49596 MCP Inspector RCE, JFrog CVE-2025-6514 mcp-remote Command Injection, Minh họa tấn công MCP Tool Poisoning của Invariant Labs (Tháng 4 năm 2025), Simon Willison "Model Context Protocol has prompt injection security problems" (Tháng 4 năm 2025), Astrix Security "State of MCP Server Security 2025", Đánh giá Hold của Thoughtworks Technology Radar về Naive API-to-MCP Conversion, Tim Kellogg "MCP is Unnecessary" (Tháng 4 năm 2025), Shrivu Shankar "Everything Wrong with MCP" (Tháng 4 năm 2025), Rasmus Holm "A Critical Look at MCP" (Tháng 5 năm 2025), Charles Chen "MCP is Dead; Long Live MCP!" (Tháng 3 năm 2026), Docker "MCP Horror Stories: The Supply Chain Attack", Authzed "A Timeline of Model Context Protocol Security Breaches", Anthropic "2026 MCP Roadmap", Thông báo của Agentic AI Foundation Linux Foundation (Tháng 12 năm 2025), GMO Flatt Security Blog "MCPにおけるセキュリティ考慮事項", Nghiên cứu Bảo mật MCP của Trend Micro Japan, Khung phân tích token MCPGauge, So sánh hiệu năng Cloudflare Code Mode và MCP