QuotaCheap Playbook

Cursor MCP, Skills và Tools: mở rộng coding agent mà không mở tung quyền

Tìm hiểu Cursor MCP, Skills và Tools theo docs chính thức: external tools, data sources, stdio/SSE/HTTP transports, skill directories, approval, security v…

Cursor Agent mạnh hơn khi có tools, MCP và Skills, nhưng mỗi kết nối bên ngoài đều là boundary cần kiểm soát. Đây là cách hiểu đúng theo docs để mở rộng agent mà vẫn giữ developer trust.

Giải thích Cursor MCP, Skills, tools, subagents và security theo tài liệu chính thức: MCP transports, protocol capabilities, skills directories, progressive loading, approval, network boundaries và cách thiết kế workflow mở rộng agent an toàn.

Cursor Agent mặc định đã có nhiều tool: search codebase, read files, edit files, run shell commands, browser, web, ask questions.

Nhưng trong team thật, nhu cầu thường vượt khỏi repo: đọc ticket Linear, tra docs nội bộ, query database staging, xem Sentry issue, lấy Figma spec, gọi API quản trị, hoặc chạy workflow release.

Đó là lúc MCP và Skills xuất hiện.

MCP giúp Cursor kết nối tới external tools và data sources.

Skills đóng gói knowledge, workflow, script, template và reference để agent dùng đúng lúc.

Cả hai đều làm agent mạnh hơn.

Và chính vì mạnh hơn, chúng cần permission boundary rõ hơn.

Bài này đi theo Cursor Docs về Model Context Protocol, Agent Skills, Subagents, Agent Security và Prompting.

Mục tiêu là giúp developer hiểu: mở rộng agent không phải “càng nhiều tool càng tốt”.

Mở rộng đúng là cho agent đúng context, đúng tool, đúng scope, đúng approval.

Tool là sức mạnh thật của agent Một model không có tool chỉ trả lời.

Một agent có tool có thể hành động.

Cursor Agent dùng tool để tìm thông tin, sửa file, chạy command, kiểm tra browser, tạo ảnh và hỏi lại người dùng.

Tool biến AI từ “người gợi ý” thành “người tham gia workflow”.

Nhưng tool cũng là nơi rủi ro xuất hiện.

File edit có thể làm hỏng code.

Terminal command có thể chạy script sai.

Browser có thể thao tác nhầm môi trường.

MCP tool có thể chạm dữ liệu bên ngoài repo.

Skill script có thể chạy logic team viết.

Vì vậy, câu hỏi không phải “agent có thể gọi tool nào?”.

Câu hỏi đúng là: Tool này cần cho task nào?

Input/output có rõ không?

Tool có chạm secret, production data hoặc external system không?