Habr AI→ оригинал

MCP и безопасность AI-агентов: как протокол создал новую атакующую поверхность

Model Context Protocol упростил подключение AI-агентов к инструментам — но создал новую атакующую поверхность. Каждый MCP-сервер становится точкой доверия, а…

AI-обработка оригинала Habr AI; редакция Hamidun News
MCP и безопасность AI-агентов: как протокол создал новую атакующую поверхность
Источник: Habr AI. Коллаж: Hamidun News.
◐ Слушать статью

Model Context Protocol (MCP) сделал AI-агентов модульными: единый стандартный интерфейс подключения к любым инструментам и сервисам. Но за этой унификацией скрывается системная проблема — каждый новый MCP-сервер расширяет доверенную зону агента и создаёт потенциальную точку атаки.

Почему MCP создал новые уязвимости

У больших языковых моделей нет архитектурной границы между «данными» и «инструкциями». Всё, что попадает в контекст модели, потенциально исполняемо. MCP эту проблему не решает, а масштабирует: теперь у агента могут быть десятки подключённых инструментов, и каждый расширяет атакующую поверхность.

MCP-стандартизация означает, что злоумышленник, получивший контроль над одним сервером или способный подбросить данные в его ответы, потенциально влияет на всю цепочку действий агента.

Три основных класса угроз в MCP-экосистеме:

  • Tool poisoning — описание инструмента в MCP-сервере содержит скрытые инструкции, которые меняют поведение агента при вызове
  • Indirect prompt injection — вредоносные инструкции спрятаны в документе, записи базы данных или веб-странице, которую агент читает в ходе задачи
  • Sampling abuse — манипуляция тем, как агент запрашивает новые выводы у модели, что позволяет обходить ограничения системного промпта

Даже «безобидный» PDF, описание инструмента или строка из базы данных могут содержать команды, которые агент выполнит наравне с легитимными инструкциями.

Что показала практическая проверка

Уязвимости не теоретические. Исследователь провёл проверку на специально сконфигурированном уязвимом MCP-стенде и зафиксировал реальное выполнение инъектированных команд. Среди задокументированных сценариев — перехват вызовов инструментов через специально сформированные ответы MCP-сервера и выполнение скрытых инструкций из текстовых документов, переданных агенту как «данные».

«Каждый MCP-сервер, которому вы доверяете, расширяет доверенную зону

всей системы — не только своими инструментами, но и всем, что он может подать агенту в виде данных».

Сканер BarkingDog, разработанный автором, детектирует подозрительные вызовы инструментов в реальном времени — один из немногих практических инструментов обнаружения, доступных сегодня командам безопасности.

Как индустрия пытается закрыть проблему

Производители AI-инфраструктуры движутся сразу в нескольких направлениях:

  • MCP Gateways — прокси-слой, который фильтрует и контролирует вызовы инструментов до того, как они достигают агента; некоторые решения добавляют полный аудит-лог взаимодействий
  • Sandboxing — изоляция выполнения MCP-серверов с ограничением доступа к файловой системе, сети и системным ресурсам
  • OAuth-архитектуры — явная авторизация каждого инструмента с минимальными правами доступа; каждый MCP-сервер получает только те разрешения, которые реально нужны для конкретной задачи

Пока все эти решения частичные. Фундаментальная проблема архитектурная: пока языковые модели не научатся разграничивать data plane и control plane на уровне обработки контекста, любые входящие данные остаются потенциально исполняемыми.

Что это значит

MCP стал де-факто стандартом для AI-агентов, и вопрос его безопасности перешёл из академической плоскости в прикладную. Разработчикам, деплоящим агентов с MCP-серверами, стоит относиться к каждому подключённому инструменту как к доверенной третьей стороне — с обязательным аудитом, изоляцией и принципом минимальных привилегий на каждый вызов.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…