Глоссарий по безопасности Xygeni
Глоссарий по безопасности разработки и доставки программного обеспечения

Что такое протокол контекста модели (MCP)?

Объяснение безопасности MCP #

Протокол контекста модели (Model Context Protocol) появился не с предупреждением о безопасности. Он стал прорывом в повышении производительности, standard Это позволяет ИИ-помощникам выходить за пределы окна чата и напрямую взаимодействовать с инструментами, файлами, API и т. д. pipelineК тому времени, когда команды безопасности начали задаваться вопросом, что такое MCP, он уже в больших масштабах использовался в средах разработки.

Именно этот разрыв между внедрением и управлением является причиной атак на цепочки поставок. Понимание того, что такое протокол контекста модели (MCP), как работают серверы MCP и какие риски они создают, теперь является крайне важным. Ключевое требование для любой команды DevSecOps, работающей в среде, ориентированной на искусственный интеллект..

Что такое протокол контекста модели? Определение. #

Протокол контекста модели (MCP) — это открытый протокол. standard Это определяет, как большие языковые модели взаимодействуют с внешними инструментами, источниками данных и сервисами. В то время как традиционный ИИ-помощник отвечает только текстом, помощник с поддержкой MCP может выполнять действия (чтение файлов, запросы к API, выполнение команд, установка зависимостей и взаимодействие с другими системами). CI/CD pipelines) через структурированный интерфейс, который связывает модель со средой разработки.

MCP был представлен компанией Anthropic в ноябре 2024 года и с тех пор используется в основных инструментах для разработки программного обеспечения для ИИ, включая Claude, Cursor, Windsurf и GitHub Copilot. Он предоставляет общий язык для взаимодействия ИИ с инструментами, подобно тому, как HTTP предоставляет общий протокол для веб-коммуникаций.

Если ИИ-помощник — это мозг, то сервер MCP — это нервная система, которая соединяет его с инструментами для разработчиков.

Как это работает? #

MCP работает на основе клиент-серверной архитектуры, состоящей из трех компонентов:

  • Ведущий MCP Это приложение, в котором работает разработчик: IDE, например VS Code, Cursor или Windsurf, или ИИ-помощник, например Claude. Хост управляет соединениями с серверами MCP и контролирует доступ модели к определенным ресурсам.
  • Клиент MCP Он находится внутри хоста и поддерживает прямое соединение с каждым сервером MCP. Он преобразует запросы к модели в структурированные вызовы инструментов и возвращает результаты модели.
  • Сервер MCP Это мост к внешним возможностям. Он предоставляет доступ к инструментам, ресурсам и запросам, которые может вызывать модель. Сервер MCP может подключаться к файловой системе, репозиторию GitHub, базе данных и т. д. CI/CD платформа или сканер безопасности. Каждый вызов инструмента, выполняемый моделью, проходит через сервер MCP, который его запускает и возвращает результат.

Когда разработчик просит ИИ-помощника просканировать проект, исправить уязвимость или установить зависимость, модель не выполняет эти действия напрямую. Она отправляет структурированный запрос на соответствующий MCP-сервер, который выполняет действие с использованием авторизованных локальных инструментов и возвращает результат.

MCP против традиционных ИИ-помощников: что изменилось? #

До появления MCP помощники по программированию на основе ИИ были по сути пассивными. Они могли читать код, который вы вставляли в чат, и предлагать изменения, но не могли напрямую взаимодействовать с вашей средой. MCP полностью меняет эту модель.

Разница имеет значение для безопасности, поскольку она меняет возможности ИИ-помощника. Традиционный помощник, дающий плохие советы, обходится вам в один цикл проверки кода. Помощник с поддержкой MCP, совершающий неправомерные действия (установка вредоносной зависимости, выполнение скомпрометированного скрипта сборки или пересылка учетных данных на внешнюю конечную точку), обходится вам в один инцидент.

MCP превращает ИИ-помощников из консультантов в операторов. Этот переход требует тех же мер безопасности, которые вы применяете к любому оператору, имеющему доступ к вашей инфраструктуре.

Что такое MCP-сервер? #

MCP Сервер — это легковесный процесс, предоставляющий доступ к своим возможностям. для совместимых с MCP клиентов ИИ. Он определяет набор инструментов (дискретных действий, которые может вызывать модель), а также ресурсы, которые модель может считывать, и шаблоны подсказок, которые она может использовать.
Серверы MCP существуют для широкого спектра интеграций: доступ к файловым системам, GitHub, Slack, базам данных, сканерам безопасности и т. д. CI/CD платформы. Разработчики могут запускать серверы MCP локально, в инфраструктуре своей организации, или подключаться к серверам MCP, предоставляемым сторонними поставщиками.
В последней категории риски безопасности приобретают конкретный характер. Сторонний MCP-сервер — это внешний процесс, имеющий доступ к среде разработчика. Исследования показывают, что 5.5% общедоступных MCP-серверов содержат уязвимости, приводящие к отравлению инструментов, а 43% — уязвимости, приводящие к внедрению команд. Это означает, что значительная часть общедоступных MCP-серверов может быть использована для манипулирования поведением ИИ, кражи данных или выполнения несанкционированных команд.

Риски безопасности MCP: что должны знать команды DevSecOps #

MCP создает новую поверхность атаки, для защиты которой традиционные инструменты безопасности приложений не были предназначены. Ключевые риски:

Теневые серверы MCP. Разработчики настраивают серверы MCP локально без официального одобрения или контроля, создавая пробел в инвентаризации. Команды безопасности не могут защитить то, чего не видят.

Отравление инструментов. Вредоносный MCP-сервер предоставляет доступ к инструментам, которые выглядят легитимными, но при вызове моделью выполняют вредоносные действия. Поскольку модель доверяет получаемым определениям инструментов, она может вызвать зараженный инструмент без каких-либо видимых признаков неисправности.

Немедленное введение препарата через MCP. Вредоносное содержимое файлов, документов или ответов API может внедрять инструкции в контекст модели, манипулируя ее поведением. Сервер MCP, который считывает внешнее содержимое и передает его модели без предварительной очистки, является прямым вектором внедрения подсказок.

Изменение зависимостей. Серверы MCP, управляющие установкой пакетов или разрешением зависимостей, могут быть скомпрометированы для установки вредоносных пакетов. Когда агент ИИ устанавливает зависимость автономно через сервер MCP, между вредоносным пакетом и сервером нет человека-проверяющего. pipeline.

Раскрытие учетных данных. Серверы MCP часто обрабатывают токены аутентификации, ключи API и переменные среды. Небезопасная конфигурация MCP может привести к раскрытию этих учетных данных через контекст модели или через журналы.

Несанкционированное выполнение инструмента. Без строгих списков разрешенных устройств помощник с поддержкой MCP может запускать инструменты, выходящие за рамки его предполагаемой области применения, модифицировать производственную инфраструктуру, получать доступ к конфиденциальным репозиториям или выполнять вызовы API к внешним сервисам.

Рекомендации по безопасности #

Для обеспечения безопасности MCP необходимо рассматривать каждый сервер MCP как привилегированную интеграцию, а не как удобство для разработчиков.

  • Блокируйте вредоносные зависимости на конечной точке. Когда агент с поддержкой MCP устанавливает зависимость, эту установку следует перехватить и просканировать перед выполнением. Обнаружения на основе сигнатур недостаточно; вредоносные пакеты, нацеленные на инструменты ИИ, распространяются быстрее, чем сигнатуры могут их отследить.
  • Проведите инвентаризацию всех серверов MCP. Узнайте, какие серверы MCP настроены в ваших средах разработки локально. CI/CD pipelineи в конфигурациях вашей IDE. Теневой MCP — это та же проблема, что и теневые ИТ, с прямым доступом к вашим инструментам.
  • Внедрить список разрешенных MCP. Запускать должны только одобренные серверы MCP. Любой неодобренный сервер, пытающийся подключиться, должен быть заблокирован на конечной точке, прежде чем он сможет взаимодействовать с моделью.
  • Применяйте принцип минимальных привилегий к определениям инструментов MCP. Каждый сервер MCP должен предоставлять доступ только к тем инструментам, которые необходимы для его конкретной функции. Сервер, предназначенный для чтения файлов, не должен предоставлять доступ к возможностям установки пакетов.
  • Проверка и очистка контента, передаваемого через MCP. Любой внешний контент (файлы, ответы API, результаты базы данных), проходящий через сервер MCP и попадающий в контекст модели, является потенциальным вектором внедрения запросов. Рассматривайте его как ненадежный входной контент.
  • Отслеживайте взаимодействие MCP во время выполнения. Регистрируйте каждый вызов инструмента, который модель выполняет через серверы MCP. Аномальные закономерности (неожиданные вызовы инструментов, исходящие соединения из сред сборки, вызовы инструментов вне обычного рабочего времени) являются ранними признаками компрометации.

Реальные инциденты в сфере безопасности #

Безопасность MCP — это не теория. В начале 2026 года исследования Университета Куинс показали, что стеки MCP обладают... Вероятность эксплуатации составляет 92%. Когда несколько плагинов объединяются. Кампания PromptMink (приписываемая спонсируемой северокорейской государственной группе Famous Chollima) специально разработала вредоносные npm-пакеты, чтобы обмануть агентов ИИ, работающих через интерфейсы, подобные MCP, и заставить их установить вредоносное ПО для кражи учетных данных. Пакеты были разработаны таким образом, чтобы выглядеть легитимными для агентов ИИ, даже если бы их заметил человек-проверяющий.

В июне 2026, Компания Xygeni подтвердила наличие кластеров ollama-helpers и openai-agents-helpers. (более 35 объединенных версий, опубликованных скоординированными волнами) напрямую нацелены на пакеты, используемые в рабочих процессах разработки агентов, где распространены подключения к MCP. Когда агент ИИ устанавливает зависимость автономно через сервер MCP, между вредоносным пакетом и его выполнением нет человека-проверщика.

Что такое MCP в контексте безопасности цепочки поставок в сфере искусственного интеллекта? #

MCP находится на стыке безопасности ИИ и... software supply chain securityЭто слой, который связывает модели ИИ с инструментами, репозиториями и инфраструктурой, определяющими современную систему. SDLCчто делает его одновременно самой мощной точкой интеграции и самой уязвимой поверхностью для атак в разработке, ориентированной на ИИ.

Традиционный подход к безопасности приложений ограничивается репозиторием. EDR отслеживает операционную систему. Ни один из них не был разработан для понимания серверов MCP, вызовов инструментов или установки зависимостей с помощью ИИ. Именно в этом разрыве и заключается суть атак на основе MCP.

Для обеспечения безопасности MCP необходима прозрачность в отношении того, какие серверы MCP запущены, какие инструменты они предоставляют, что вызывает модель и были ли проверены зависимости и обрабатываемые файлы. Это объединение инвентаризации ИИ, поведенческого мониторинга и безопасности цепочки поставок в единую задачу.

Защита MCP с помощью Xygeni
#

Для обеспечения безопасности MCP требуется нечто большее, чем просто документы с политиками и контрольные списки передовых методов. Необходима постоянная видимость того, какие MCP-серверы работают в средах разработки, поведенческий мониторинг каждого вызова инструмента, выполняемого моделью, и возможность блокировать вредоносные зависимости на конечной точке до их выполнения, до того, как будет создана сигнатура. Понимание того, что такое протокол контекста модели (MCP), имеет ключевое значение.

Платформа безопасности на основе искусственного интеллекта от Xygeni охватывает всю поверхность атаки MCP: инвентаризация каждого сервера MCP с помощью AI-SPM, обнаружение отравления инструментов, внедрения запросов и небезопасных конфигураций MCP с помощью сканирования безопасности AI, соответствующего OWASP MCP Top 10, и обеспечение соблюдения политики на конечной точке разработчика с помощью Shield, блокируя несанкционированные серверы MCP и вредоносные зависимости до того, как они достигнут... pipeline.

Если ваши команды используют ИИ-помощников в программировании, то слой MCP уже является частью вашей поверхности атаки. Вопрос в том, можете ли вы его увидеть.

FAQ #

Что такое MCP в искусственном интеллекте?

MCP (Model Context Protocol) — это открытый протокол. standard Это позволяет ИИ-помощникам взаимодействовать с внешними инструментами, источниками данных и сервисами. Это дает моделям ИИ возможность выполнять действия (чтение файлов, запросы к API, установка пакетов, выполнение команд) через структурированный интерфейс, а не только в текстовом виде.

Безопасен ли MCP?

MCP создает значительные риски для безопасности, если не регулируется должным образом. Исследования показывают, что 5.5% общедоступных серверов MCP содержат уязвимости, приводящие к отравлению инструментов, а 43% — уязвимости, приводящие к внедрению команд.Для обеспечения безопасности MCP необходимо провести инвентаризацию каждого сервера MCP, обеспечить соблюдение списков разрешенных серверов, применить принцип минимальных привилегий и отслеживать вызовы инструментов во время выполнения.

В чём разница между MCP и традиционным API?

Традиционный API вызывается кодом, написанным и контролируемым разработчиком. Вызовы инструментов MCP осуществляются моделью искусственного интеллекта на основе ее интерпретации задачи. Модель решает, какие инструменты вызывать, в каком порядке и с какими параметрами, что делает взаимодействие с MCP более сложным для прогнозирования и аудита, чем традиционные вызовы API.

Что такое отравление инструментов в MCP?

Отравление инструментов — это атака, при которой вредоносный MCP-сервер раскрывает определения инструментов, которые кажутся легитимными, но при вызове моделью выполняют вредоносные действия. Поскольку модель доверяет определениям инструментов, получаемым от подключенных MCP-серверов, она может вызвать отравленный инструмент без каких-либо видимых предупреждений.

Что такое быстрая инъекция через MCP?

Внедрение вредоносного кода через MCP происходит, когда вредоносное содержимое в файлах, документах или ответах API (передаваемых через сервер MCP в контекст модели) манипулирует поведением модели. Это эквивалент SQL-инъекции в MCP: недоверенные входные данные влияют на поведение доверенной системы.

Начать бесплатно

Начни бесплатно.
Нет необходимости кредитную карту.

Начните работу одним щелчком мыши:

Эта информация будет надежно сохранена в соответствии с Условия Предоставления Услуг и Персональные данные

Скриншот приложения