MCP OAuth Proxy bị dính Account Takeover 1-click: Vì sao PKCE không cứu được bạn

Một click vào link của attacker là đủ để rút ra access token production 24 giờ + refresh token 14 ngày — không cần phishing page. Ba lỗi chained (open DCR + thiếu redirect_uri validation + PKCE không bảo vệ initiator) đang phơi mặt trên hàng loạt MCP OAuth proxy.