Cyber News

MCP 2026-07-28: протокол подключения ИИ к инструментам взрослеет — и упирается в безопасность

M
Markabus
·11 июля 2026 г.
Концептуальная 3D-иллюстрация: центральный светящийся модуль-протокол MCP соединяет ИИ-ядро с базами данных, серверами и веб-сервисами

Model Context Protocol (MCP, протокол взаимодействия ИИ с внешними инструментами) — это открытый стандарт от Anthropic, по которому ИИ-агенты подключаются к сервисам, API, базам данных, файлам и сайтам. Если языковая модель — это «мозг», то MCP — стандартный разъём, через который она дотягивается до реального мира: вашей CRM, аналитики, репозитория или CMS.

28 июля 2026 года выходит финальная версия спецификации MCP 2026-07-28 — сейчас она в статусе релиз-кандидата (release candidate, предварительная стабильная версия перед публикацией). Это крупнейший пересмотр протокола с момента его запуска. Ниже разберём, что именно меняется, зачем это сделано, что даёт разработчикам и бизнесу — и почему одновременно резко обострился вопрос безопасности MCP.

Что такое MCP и почему о нём стоит знать

До появления MCP каждое подключение ИИ к внешнему инструменту приходилось программировать отдельно: свой коннектор к почте, свой — к базе данных, свой — к платёжному сервису. MCP стандартизирует этот слой. Часто его называют «USB-C для ИИ»: единый разъём вместо десятка несовместимых.

Архитектура простая: есть клиент (ИИ-приложение — например, Claude Code или агент вроде OpenClaw) и MCP-сервер — небольшая обёртка над конкретным инструментом или API, которая описывает доступные действия на понятном модели языке. Именно так современные агенты получают доступ к вашим данным и сервисам. Мы уже разбирали, как агенты выходят из редактора кода в бизнес-процессы и как локальный агент превращается в инфраструктуру — MCP это тот самый «клей», который связывает их с внешним миром.

Что меняется в спецификации 2026-07-28

Обновление затрагивает саму механику протокола. Изменения делают MCP проще в эксплуатации, ближе к привычным веб-стандартам и пригоднее для промышленного использования.

Stateless-ядро: протокол без сессий

Ключевое изменение — MCP становится stateless (без сохранения состояния между запросами). Убраны начальный обмен initialize/initialized (handshake, «рукопожатие» при установке соединения) и заголовок Mcp-Session-Id. Теперь информация о клиенте и его возможностях едет прямо в каждом запросе, в полях _meta.

Появились служебные HTTP-заголовки Mcp-Method, Mcp-Name и MCP-Protocol-Version. Благодаря им балансировщик нагрузки может маршрутизировать трафик, не заглядывая в тело запроса. Практический смысл: любой экземпляр сервера обрабатывает любой запрос, поэтому MCP-сервисы масштабируются на обычной HTTP-инфраструктуре так же, как привычные веб-приложения — без «липких» сессий и сложной синхронизации состояния.

MCP Apps: интерфейсы прямо от сервера

Новое расширение MCP Apps позволяет серверу отдавать не только текст и данные, но и готовый интерактивный интерфейс — HTML, отрисованный на стороне сервера и показанный в sandboxed iframe (изолированном фрейме-«песочнице»). Инструмент заранее объявляет свой UI-шаблон, чтобы клиент мог его предзагрузить и проверить на безопасность. При этом все действия из такого интерфейса идут по тому же протоколу JSON-RPC, что и обычные вызовы инструментов. Для пользователя это значит, что агент сможет показать форму, таблицу или набор кнопок, а не только абзац текста.

Расширение Tasks: для долгих операций

Раньше вызов инструмента был коротким запросом-ответом. Расширение Tasks переработано под stateless-модель: сервер отвечает на tools/call «хэндлом задачи» (task handle, ссылкой на выполняемую операцию), а клиент отслеживает прогресс через tasks/get и управляет ей через tasks/update и tasks/cancel.

Это отражает общий тренд 2026 года: агенты перестали быть «спросил — ответил» и работают минутами и часами, выполняя длинные цепочки действий. Экспериментальный вариант Tasks из версии 2025-11-25 придётся мигрировать на новый API.

Авторизация ближе к OAuth и предсказуемая эволюция

Шесть отдельных предложений по улучшению (SEP, Specification Enhancement Proposal) приближают авторизацию MCP к практикам OAuth 2.0 и OpenID Connect (общепринятые стандарты авторизации и аутентификации). В частности, клиенты обязаны проверять параметр iss (издатель токена) по RFC 9207, объявлять тип приложения при динамической регистрации и привязывать учётные данные к конкретному серверу авторизации.

Отдельно вводится политика устаревания: у каждой возможности теперь есть жизненный цикл — «активна», «устарела», «удалена», причём между объявлением устаревания и возможным удалением проходит не менее двенадцати месяцев. По этой схеме уже помечены к устареванию Roots, Sampling и Logging. Для разработчиков это главное: на MCP теперь можно строить продукты, не опасаясь, что протокол внезапно сломает совместимость.

Корпоративная авторизация: единый вход для ИИ-агентов

Параллельно до стабильного статуса доведено расширение Enterprise-Managed Authorization (EMA, корпоративно-управляемая авторизация). Оно даёт организациям централизованный контроль доступа к MCP-серверам через корпоративный провайдер идентификации (IdP, identity provider — система единого входа сотрудников). Вместо того чтобы подтверждать согласие на каждом сервере по отдельности, пользователь входит один раз и получает доступ к разрешённым инструментам.

Технически это работает через Identity Assertion JWT Authorization Grant (ID-JAG) — подписанное утверждение об identity, которое обменивается на токен доступа. Поддержку уже заявили Anthropic (в Claude, Claude Code и Cowork), Microsoft (в Visual Studio Code) и Okta как первый провайдер идентификации; на стороне серверов — Asana, Atlassian, Canva, Figma, Linear, Supabase, а Slack в процессе.

Важная оговорка: EMA управляет доступом на уровне подключения, но это не авторизация каждого отдельного действия в момент выполнения. Что именно агент делает после получения токена, нужно ограничивать отдельными средствами.

Тема контроля доступа для ИИ становится центральной — мы уже касались её в разборе того, как доступ к мощным моделям упирается не в вычисления, а в правила.

Обратная сторона: безопасность MCP вышла на первый план

Зрелость протокола обнажила и его риски. Июль 2026 года прошёл под знаком безопасности MCP, и здесь важно быть трезвым.

Агентство национальной безопасности США (NSA) выпустило рекомендации по харднингу (hardening, усилению защиты) MCP. В документе названы структурные проблемы: инвертированный клиент-серверный паттерн, непроверенное распространение задач между инструментами и серьёзный риск исполнения произвольного кода.

Конкретные примеры уже есть. В инструменте Amazon Q обнаружили уязвимость с оценкой CVSS 8.5 (CVSS — шкала критичности уязвимостей, где 10 — максимум): она позволяла автоматически подгружать MCP-конфигурации из рабочих каталогов без согласия пользователя, а затем исполнять код и красть ключи доступа к AWS. Патч вышел в июне 2026 года. Отдельное исследование более чем 10 000 реальных MCP-серверов показало, что учётные данные, API-ключи и персональные данные (PII, personally identifiable information) утекают более чем в 10% случаев.

Появились и специфические техники атак: ShareLock — распределение вредоносных инструкций по описаниям нескольких «безобидных» инструментов (успех более 90%), WebMCP Tool Surface Poisoning — подмена набора инструментов агента в середине сессии, и Agentjacking — поддельные диагностические события, вынуждающие агент выполнить чужие команды (успех около 85%). Общий вывод специалистов однозначен: MCP-сервер нельзя считать доверенным по умолчанию.

Что это значит на практике

Для разработчиков. Stateless-архитектуру проще деплоить и масштабировать — это плюс. Но стоит заранее спланировать миграцию с экспериментального Tasks API, учесть будущее устаревание Roots, Sampling и Logging и закладывать авторизацию, совместимую с OAuth 2.0 и OpenID Connect. Если вы уже используете MCP в связке с агентами, полезно свериться с базовой структурой проекта для Claude Code, чтобы конфигурация серверов была прозрачной и воспроизводимой.

Для владельцев сайтов и бизнеса. MCP — это то, как ваши будущие ИИ-помощники будут подключаться к CRM, аналитике, платежам и CMS. Стандартизация и корпоративный вход упрощают внедрение, но каждая новая интеграция — это дополнительная поверхность атаки. Не подключайте случайные MCP-серверы из непроверенных источников, ограничивайте права и требуйте явного подтверждения чувствительных действий.

Чек-лист безопасного внедрения MCP

  • Подключайте только проверенные MCP-серверы из доверенных источников; не разрешайте автозагрузку конфигураций из рабочих каталогов.

  • Требуйте явного согласия пользователя на чувствительные операции (запись, оплата, отправка данных).

  • Проверяйте (валидируйте) то, что возвращает MCP-сервер, и не относитесь к нему как к заведомо «своему» внутреннему сервису.

  • Ограничивайте права токенов и помните: доступ к подключению — это ещё не право на любое действие.

  • Где возможно, используйте корпоративный провайдер идентификации (EMA) вместо разрозненных согласий.

  • Держите SDK и серверы в актуальных версиях и следите за публикуемыми уязвимостями (CVE).

  • Логируйте и отслеживайте вызовы инструментов — это первая линия обнаружения аномалий.

Вывод

MCP переходит из категории «эксперимент для разработчиков» в категорию инфраструктуры: он становится стабильнее, масштабируемее, получает корпоративный вход и предсказуемую политику развития. Но взросление протокола означает и взросление требований к безопасности. Выигрывают не те, кто подключает всё подряд, а те, кто внедряет MCP осознанно: берут пользу от стандартизации, но держат под контролем каждый сервер и каждое действие агента.

Частые вопросы

Что такое MCP простыми словами?

Это единый стандарт, по которому ИИ-модель подключается к внешним инструментам и данным — почте, базам, API, сайтам. Аналог универсального разъёма, избавляющего от десятка индивидуальных интеграций.

Нужно ли что-то менять прямо сейчас?

Если вы только пользуетесь готовыми агентами — нет, обновление подтянется на стороне вендоров. Если разрабатываете свои MCP-серверы — да: планируйте переход на stateless-модель, новый Tasks API и OAuth-совместимую авторизацию.

Безопасно ли использовать MCP?

При аккуратном подходе — да. Риски связаны не с самой идеей, а с бездумным подключением непроверенных серверов и избыточными правами. Чек-лист выше закрывает большинство типовых проблем.

Заменит ли MCP обычные API?

Нет. MCP не заменяет API, а стандартизирует то, как ИИ ими пользуется. Под капотом MCP-сервер обычно и обращается к привычным REST- или GraphQL-эндпоинтам.


Источники: официальный блог Model Context Protocol (анонс релиз-кандидата 2026-07-28), InfoQ о корпоративной авторизации MCP, обзор безопасности MCP за июль 2026 (Adversa AI).

← Следующая статья
Managed Agents в Gemini API: как запускать фоновые задачи и безопасно подключать MCP

Читайте также

Схема безопасной работы Managed Agents в Gemini API с фоновой задачей, песочницей и MCP-серверомCyber News
11 июля 2026 г.

Managed Agents в Gemini API: как запускать фоновые задачи и безопасно подключать MCP

Google расширила Managed Agents в Gemini API: длительные задачи теперь можно выполнять в фоне, remote MCP подключается напрямую, а токены обновляются без потери состояния. Разбираем архитектуру, безопасный пример на JavaScript и ограничения Public Preview.

Читать →
Схема подключения WordPress-плагина к нескольким AI-провайдерам через единый AI ClientCyber News
11 июля 2026 г.

AI Client в WordPress 7.0: как добавить ИИ в плагин без привязки к провайдеру

WordPress 7.0 получил встроенный AI Client — единый PHP API для работы с моделями разных провайдеров. Разбираем настройку Connectors, рабочий пример мини-плагина, проверку поддержки, обработку WP_Error, расходы, безопасность и перенос массовой генерации в фоновые задачи.

Читать →
Claude Fable 5: новая AI-гонка упирается не только в мощность моделей, но и в контроль доступаCyber News
13 июня 2026 г.

Claude Fable 5: новая AI-гонка упирается не только в мощность моделей, но и в контроль доступа

Anthropic выпустила Claude Fable 5 — самую мощную общедоступную модель, но через три дня доступ закрыли из-за требований экспортного контроля. Что это значит для бизнеса.

Читать →