Model Context Protocol (MCP) продолжает набирать популярность как универсальное решение для интеграции искусственного интеллекта с внешними инструментами и сервисами. Однако на фоне быстрого распространения этой технологии остаются критические пробелы в безопасности, которые могут привести к серьёзным уязвимостям и негативным последствиям для организаций, использующих MCP в своих продуктах. Несмотря на последние обновления и внедрение новых стандартов, многие аспекты протокола и его реализаций по-прежнему оставляют двери открытыми для злоумышленников. Разберёмся, почему безопасность MCP ещё далеко не совершенна и что следует предпринять для повышения защиты. Основы MCP и почему он важен для экосистемы искусственного интеллекта MCP был разработан с целью стандартизации взаимодействия AI-моделей с внешними инструментами без необходимости создавать уникальные интеграции для каждого варианта использования.
Он представляет собой простую спецификацию, основанную на JSON-RPC, которая позволяет AI запросить доступные инструменты, получить их описание и выполнить вызовы с нужными параметрами. Эта модель обеспечивает быстрый старт для разработчиков, позволяя создавать сервер-инструменты буквально за один день. Но простота реализации и гибкость использования оборачиваются рядом потенциальных проблем в области безопасности. Протокол требует, чтобы AI включал в свой контекст описания инструментов, получаемые в ответ от MCP-сервера. Эти описания формируются на естественном языке и интерпретируются моделью, что открывает уязвимость, известную как Tool Description Injection.
Опасность внедрения вредоносных инструкций в описания инструментов В описаниях инструментов, которые AI читает как часть своего входного контекста, злоумышленник, контролирующий MCP-сервер, может встроить вредоносные команды и принудить модель выполнять нежелательные действия. Например, в описании может содержаться инструкция игнорировать предыдущие указания и отправлять конфиденциальные данные пользователя на внешний сервер злоумышленника. Подобная инъекция инструкций не требует вмешательства самого пользователя, что делает уязвимость особенно опасной. В тестах нескольких популярных реализаций MCP было подтверждено, что инструментальные описания зачастую не фильтруются и не проверяются должным образом, позволяя злоумышленникам достигать прямого контроля над поведением ИИ. Это значит, что пользователи только видят, как AI якобы стабильно выполняет запрошенную задачу — например, получение прогноза погоды — в то время как в фоновом режиме происходит утечка чувствительной информации.
Почему традиционные методы защиты здесь не работают. Отличие уязвимости MCP заключается в её нахождении в самом протоколе и его архитектуре. В отличие от обычных атак prompt injection, где требуется манипулировать пользовательским вводом, в MCP AI вынужден принимать описания инструментов в качестве части своего рабочего контекста, что делает невозможным простое игнорирование или жёсткую фильтрацию этих данных без ущерба функциональности. Это создаёт серьёзную дилемму для разработчиков: либо разрешить потенциально вредоносные инструкции, либо лишить AI возможности полноценно взаимодействовать с внешними сервисами. Нехватка надёжной аутентификации и авторизации В дополнение к проблеме инъекций описаний значительную тревогу вызывает ситуация с аутентификацией в MCP-серверах.
В большинстве случаев, которые удалось проанализировать, установка методов проверки идентификации реализована крайне слабо или отсутствует вовсе. Часто встречаются случаи, когда серверы обрабатывают ключевые POST-запросы без проверки подлинности, что открывает доступ к исполнению инструментов любому желающему. Официальная спецификация MCP отчасти требует внедрения аутентификации, но не задаёт конкретных стандартов или обязательных механизмов. Более того, в спецификации последнего обновления, вышедшего в июне 2025 года, появилась необходимость внедрения OAuth-потоков и Resource Indicators. Однако внедрение этих требований отстаёт, а многие реализации продолжают использовать элементарные или недостаточные методы защиты.
Данная проблема усугубляется высокой степенью доверия к MCP-настройкам и отсутствием централизации контроля, что ставит организации под угрозу злоупотребления правами доступа и токенами авторизации. Риски, связанные с цепочкой поставок MCP-инструментов Помимо уязвимостей в протоколе и аутентификации, особое беспокойство вызывают риски, связанные с распространением MCP-инструментов как программных пакетов, которые загружаются и устанавливаются вместе с основным AI-приложением. Эти пакеты нередко предоставляют слишком широкий набор разрешений, работают с чувствительной информацией и интегрируются с критически важными системами. Отсутствие строгих процедур аудита и кода, а также широкие полномочия, предоставляемые этим инструментам, создают благодатную почву для атак через цепочку поставок. Злоумышленники могут внедрить скрытые вредоносные функции, которые будут незаметны в логах и не вызывать у системы сигналов об аномалиях.
Реальные последствия и демонстрация уязвимостей в промышленной среде Проведённые тесты безопасности на разных MCP-реализациях показали печальную картину. В половине проверить систем была успешно реализована атака через внедрение описания инструментов, а примерно в 10% обнаружены критичные эндпоинты без аутентификации. Значительная часть используемых инструментов имела разрешения, существенно превышающие функциональные потребности, что создавало дополнительные векторы для эксплуатации. Особенно тревожным является тот факт, что подобные инциденты практически невозможно обнаружить с помощью традиционных систем мониторинга и SIEM. Логи операций будут выдавать успешное выполнение задач, скрывая истинное вредоносное поведение.
Для организаций, обрабатывающих конфиденциальные данные, такие ситуации могут завершиться серьёзными утечками и нарушением нормативных требований. Что необходимо сделать для улучшения безопасности MCP-систем Существует целый набор мер, которые помогут снизить риски и укрепить безопасность MCP. В первую очередь требуется подходить к описаниям инструментов с осторожностью, применяя парсинг и валидацию содержимого перед тем, как передавать их AI. Отказ от свободного текста в пользу строго структурированных и валидируемых описаний значительно уменьшит возможности внедрения вредоносных инструкций. В плане аутентификации внедрение полноценных OAuth-потоков и поддержка Resource Indicators в соответствии с RFC 8707 являются обязательными шагами к снижению риска кражи токенов и персональных данных.
Каждый запрос должен подвергаться тщательной проверке с обязательной валидацией токена и его разрешений. Что касается дистрибуции MCP-инструментов, необходимо установить жесткие политики управления версиями, проводить скрупулёзный аудит кода и ограничивать набор разрешений до необходимого минимума. Это позволит минимизировать возможности для атак через цепочку поставок. Почему время для действий настало сегодня Распространение MCP набирает обороты, и текущий этап внедрения — последний шанс устранить уязвимости до того, как число серверов и инструментов достигнет уровня, при котором централизованное координирование обновлений и мер безопасности станет крайне сложной задачей. Финансовые учреждения, медицинские организации и системы поддержки клиентов уже интегрируют MCP, и даже небольшие инциденты здесь могут привести к тяжёлым последствиям.
Современное состояние MCP заставляет глубже задуматься о необходимости не только технических, но и организационных мер по безопасности. Важно создать прозрачность в отношении исполняемых инструментов, их описаний и процессов внедрения аутентификации, а также уделять больше внимания обучению разработчиков и поддержке экосистемы надёжными практиками. Перспективы дальнейшего развития безопасности MCP Новые версии спецификаций MCP шаг за шагом укрепляют основу безопасности, отказываясь от уязвимых технологических решений, таких как JSON-RPC batching, и внедряя проверенные стандарты авторизации. Однако фундаментальные проблемы с описаниями инструментов и рисками цепочки поставок требуют более глубоких изменений и включения разработчиков в процесс ответственной разработки. Вторая часть анализа, которая рассматривает практические методы и инструменты для исправления текущих проблем, обещает дать ясные рекомендации и инструменты для разработчиков и аудиторов.
Для сообщества MCP ещё есть возможность совместными усилиями превратить протокол из уязвимой платформы в безопасный и надёжный стандарт. Каждый, кто работает с MCP, должен понимать, что настройка безопасности — это не разовое мероприятие, а постоянный процесс, требующий своевременного реагирования и регулярного обновления. Осознание сегодняшних проблем и готовность взять на себя ответственность за внедрение стандартов безопасности может стать залогом успешной и безопасной интеграции искусственного интеллекта в будущее нашей цифровой жизни.
![We stopped believing in progress. Now, we're stagnating. [video]](/images/0EFA5C25-B4E4-4D67-A64C-9FE99FE09B1D)
