MCP и безопасность AI-агентов: как протокол создал новую атакующую поверхность
Model Context Protocol упростил подключение AI-агентов к инструментам — но создал новую атакующую поверхность. Каждый MCP-сервер становится точкой доверия, а…
AI-обработка оригинала Habr AI; редакция Hamidun News
Model Context Protocol (MCP) сделал AI-агентов модульными: единый стандартный интерфейс подключения к любым инструментам и сервисам. Но за этой унификацией скрывается системная проблема — каждый новый MCP-сервер расширяет доверенную зону агента и создаёт потенциальную точку атаки.
Почему MCP создал новые уязвимости
У больших языковых моделей нет архитектурной границы между «данными» и «инструкциями». Всё, что попадает в контекст модели, потенциально исполняемо. MCP эту проблему не решает, а масштабирует: теперь у агента могут быть десятки подключённых инструментов, и каждый расширяет атакующую поверхность.
MCP-стандартизация означает, что злоумышленник, получивший контроль над одним сервером или способный подбросить данные в его ответы, потенциально влияет на всю цепочку действий агента.
Три основных класса угроз в MCP-экосистеме:
- Tool poisoning — описание инструмента в MCP-сервере содержит скрытые инструкции, которые меняют поведение агента при вызове
- Indirect prompt injection — вредоносные инструкции спрятаны в документе, записи базы данных или веб-странице, которую агент читает в ходе задачи
- Sampling abuse — манипуляция тем, как агент запрашивает новые выводы у модели, что позволяет обходить ограничения системного промпта
Даже «безобидный» PDF, описание инструмента или строка из базы данных могут содержать команды, которые агент выполнит наравне с легитимными инструкциями.
Что показала практическая проверка
Уязвимости не теоретические. Исследователь провёл проверку на специально сконфигурированном уязвимом MCP-стенде и зафиксировал реальное выполнение инъектированных команд. Среди задокументированных сценариев — перехват вызовов инструментов через специально сформированные ответы MCP-сервера и выполнение скрытых инструкций из текстовых документов, переданных агенту как «данные».
«Каждый MCP-сервер, которому вы доверяете, расширяет доверенную зону
всей системы — не только своими инструментами, но и всем, что он может подать агенту в виде данных».
Сканер BarkingDog, разработанный автором, детектирует подозрительные вызовы инструментов в реальном времени — один из немногих практических инструментов обнаружения, доступных сегодня командам безопасности.
Как индустрия пытается закрыть проблему
Производители AI-инфраструктуры движутся сразу в нескольких направлениях:
- MCP Gateways — прокси-слой, который фильтрует и контролирует вызовы инструментов до того, как они достигают агента; некоторые решения добавляют полный аудит-лог взаимодействий
- Sandboxing — изоляция выполнения MCP-серверов с ограничением доступа к файловой системе, сети и системным ресурсам
- OAuth-архитектуры — явная авторизация каждого инструмента с минимальными правами доступа; каждый MCP-сервер получает только те разрешения, которые реально нужны для конкретной задачи
Пока все эти решения частичные. Фундаментальная проблема архитектурная: пока языковые модели не научатся разграничивать data plane и control plane на уровне обработки контекста, любые входящие данные остаются потенциально исполняемыми.
Что это значит
MCP стал де-факто стандартом для AI-агентов, и вопрос его безопасности перешёл из академической плоскости в прикладную. Разработчикам, деплоящим агентов с MCP-серверами, стоит относиться к каждому подключённому инструменту как к доверенной третьей стороне — с обязательным аудитом, изоляцией и принципом минимальных привилегий на каждый вызов.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.