Overview
Протокол Model Context Protocol (MCP) — это открытый стандарт на основе JSON-RPC, который формализует взаимодействие между клиентами искусственного интеллекта (помощниками, IDE, веб-приложениями) и серверами, предоставляющими три примитива — инструменты, ресурсы и подсказки.
Что стандартизирует MCP?
Сервер MCP публикует:
* инструменты (действия со схемой типов, которые может вызывать модель);
* ресурсы (читаемые объекты данных, которые клиент может получить и внедрить в качестве контекста);
* подсказки (многоразовые параметризованные шаблоны сообщений, обычно инициируемые пользователем).
Нормативные средства контроля авторизации
Подход к авторизации необычайно требователен для протокола интеграции и должен обеспечиваться следующим образом:
* Запрет на передачу токена. «Сервер MCP НЕ ДОЛЖЕН передавать токен, полученный от клиента MCP».
* Привязка аудитории и проверка. Серверы ДОЛЖНЫ проверять, что аудитория доступа к токену соответствует им (привязка к ресурсам) перед обслуживанием запроса.
Где MCP поддерживает разработку систем безопасности на практике?
* Чёткие границы доверия. Край клиент-сервер является явной, проверяемой границей.
* Минимальные привилегии. Поскольку сервер является отдельным субъектом, можно установить минимальные области действия.
* Детерминированные поверхности атак для «красных команд». С помощью типизированных схем инструментов и воспроизводимых транспортных средств «красные команды» могут создавать фиктивные объекты, имитирующие входные данные злоумышленника на границах инструментов.
Пример использования MCP для структурирования упражнений «красной команды»
1. Учения по внедрению подсказок и небезопасному выводу данных на границе инструмента.
2. Пробы на предмет спутанного заместителя для неправомерного использования токенов.
3. Учения по устойчивости сеанса/потока.
4. Учения по цепочке уничтожения в цепочке поставок.
5. Базирование на проверенных публичных серверах.
Контрольный список по усилению безопасности, ориентированный на реализацию
* На стороне клиента:
* Отображение точной команды или конфигурации, используемой для запуска локальных серверов;
* Поддержание списка разрешённых серверов с закреплёнными версиями и контрольными суммами;
* Ведение журнала каждого вызова инструмента (имя, аргументы, метаданные, принципал, решение) и выборки ресурсов с идентификаторами.
* На стороне сервера:
* Реализация поведения сервера ресурсов OAuth 2.1;
* Минимизация областей действия;
* Для локальных развёртываний предпочтение stdio внутри контейнера/песочницы и ограничение возможностей файловой системы/сети;
* Для удалённого использования — использование Streamable HTTP с TLS, ограничениями скорости и структурированными журналами аудита.
Согласование управления
Разделение MCP обязанностей — клиенты как оркестраторы, серверы как субъекты с ограниченными правами и типизированными возможностями — напрямую согласуется с рекомендациями NIST по управлению доступом, регистрации и оценке систем генеративного искусственного интеллекта.
Текущее внедрение, которое можно проверить
* Anthropic/Claude: в документации по продуктам и материалах экосистемы MCP позиционируется как способ подключения Claude к внешним инструментам и данным.
* Google’s Data Commons MCP: выпущен 24 сентября 2025 года, стандартизирует доступ к общедоступным наборам данных.
* Delinea MCP: сервер с открытым исходным кодом, интегрированный с Secret Server и Delinea Platform, подчёркивает важность политики доступа к секретам и соответствия OAuth спецификации авторизации MCP.
Резюме
MCP — это не «серебряная пуля» для обеспечения безопасности. Это протокол, который даёт специалистам по безопасности и «красным командам» стабильные, поддающиеся проверке рычаги: токены с привязкой к аудитории, явные границы клиент-сервер, типизированные схемы инструментов и транспортные средства, которые можно инструментировать.
Ресурсы, использованные в статье
* MCP specification & concepts:
* https://modelcontextprotocol.io/specification/2025-06-18/basic/authorization
* https://modelcontextprotocol.io/specification/2025-03-26/basic/transports
* https://modelcontextprotocol.io/docs/concepts/architecture
* https://modelcontextprotocol.io/docs/concepts/prompts
* MCP ecosystem (official):
* https://www.anthropic.com/news/model-context-protocol
* https://docs.claude.com/en/docs/mcp
* https://docs.claude.com/en/docs/claude-code/mcp
* https://modelcontextprotocol.io/quickstart/server
* https://modelcontextprotocol.io/docs/develop/connect-local-servers
* https://modelcontextprotocol.io/docs/develop/connect-remote-servers
* Security frameworks:
* https://owasp.org/www-project-top-10-for-large-language-model-applications/
* https://genai.owasp.org/llm-top-10/
* https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
* https://www.nist.gov/itl/ai-risk-management-framework
* Incident: malicious postmark-mcp server:
* https://www.koi.security/blog/postmark-mcp-npm-malicious-backdoor-email-theft
* https://thehackernews.com/2025/09/first-malicious-mcp-server-found.html
* https://www.itpro.com/security/a-malicious-mcp-server-is-silently-stealing-user-emails
* https://threatprotect.qualys.com/2025/09/30/malicious-mcp-server-on-npm-postmark-mcp-exploited-in-attack/
* Example MCP servers referenced:
* https://developers.googleblog.com/en/datacommonsmcp/
* https://blog.google/technology/developers/ai-agents-datacommons/
* https://github.com/DelineaXPM/delinea-mcp
* https://delinea.com/news/delinea-mcp-server-to-provide-secure-credential-access-for-ai-agents?hs_amp=true
* https://delinea.com/blog/unlocking-ai-agents-mcp
1. Какие основные компоненты стандартизирует протокол Model Context Protocol (MCP)?
Ответ: MCP стандартизирует взаимодействие между клиентами искусственного интеллекта и серверами, включая инструменты (действия со схемой типов, которые может вызывать модель), ресурсы (читаемые объекты данных, которые клиент может получить и внедрить в качестве контекста) и подсказки (многоразовые параметризованные шаблоны сообщений, обычно инициируемые пользователем).
2. Какие нормативные средства контроля авторизации предусмотрены для протокола MCP?
Ответ: Для протокола MCP предусмотрены следующие нормативные средства контроля авторизации: запрет на передачу токена от клиента к серверу MCP, проверка соответствия аудитории доступа к токену перед обслуживанием запроса.
3. Как MCP поддерживает разработку систем безопасности на практике?
Ответ: MCP поддерживает разработку систем безопасности на практике через чёткие границы доверия между клиентом и сервером, минимальные привилегии для серверов и детерминированные поверхности атак для «красных команд». Это позволяет создавать фиктивные объекты, имитирующие входные данные злоумышленника на границах инструментов.
4. Какие примеры использования MCP для структурирования упражнений «красной команды» приведены в статье?
Ответ: В статье приведены следующие примеры использования MCP для структурирования упражнений «красной команды»: учения по внедрению подсказок и небезопасному выводу данных на границе инструмента, пробы на предмет спутанного заместителя для неправомерного использования токенов, учения по устойчивости сеанса/потока, учения по цепочке уничтожения в цепочке поставок и базирование на проверенных публичных серверах.
5. Какие рекомендации по управлению доступом, регистрации и оценке систем генеративного искусственного интеллекта согласуются с разделением обязанностей в MCP?
Ответ: Рекомендации NIST по управлению доступом, регистрации и оценке систем генеративного искусственного интеллекта согласуются с разделением обязанностей в MCP через оркестрацию клиентов и установление серверов как субъектов с ограниченными правами и типизированными возможностями.