Безопасность MCP это набор проверок, которые делают до того, как внешний сервер получит доступ к вашему AI-агенту. Три главные угрозы в 2026 году: prompt injection через отравленные описания инструментов, утечка данных через логи и параметры вызовов, слишком широкие права у ключей API. Ниже разберем каждый риск на реальных кейсах и дадим чеклист перед деплоем MCP-сервера.
TL;DR. MCP подключает AI-агента к почте, базам и API, но каждый сервер работает с вашими правами и токенами. В 2026 году зафиксированы реальные атаки: postmark-mcp тайно копировал письма через BCC, 43% публичных серверов уязвимы к command injection. Проверка источника, ограничение прав и логирование снимают основную часть риска.
Данные по кейсам и уязвимостям приведены по состоянию на июль 2026.
Что такое MCP и почему безопасность стала темой в 2026?

MCP (Model Context Protocol) это открытый стандарт от Anthropic, который дает модели доступ к внешним инструментам. Безопасность вышла на первый план, потому что за год появились первые атаки в реальной среде.
MCP превращает чат-бота в агента, который действует: читает файлы, отправляет письма, ходит в базу данных. Каждый подключенный MCP-сервер это новая поверхность атаки, работающая с теми же правами, что и сам ассистент. За 2025 год протокол получил четыре именованных CVE в своем слое, включая CVE-2025-6514 в пакете mcp-remote с 437 000 загрузок.
Взлет популярности подстегнул OpenAI: релиз Agent Builder показал, насколько плотно индустрия завязана на этот протокол. Инструменты вроде Claude Code, Cursor и Windsurf подключают серверы в пару кликов. Удобство обернулось риском: код чужого сервера запускается на вашей машине с вашими секретами.
Какие главные риски у MCP-серверов?
Основных векторов пять: отравление инструментов, prompt injection через данные, утечка секретов, command injection и rug pull. Все они связаны тем, что модель по умолчанию доверяет описанию инструмента.
Клиент-серверная архитектура MCP наследует классические проблемы безопасности, и к ним добавляется специфика AI-агентов. По данным OWASP MCP Top 10, отравление инструментов идет под номером MCP03. Аналитика MintMCP за 2026 год оценивает долю публичных серверов с уязвимостью command injection в 43%, а с отравлением инструментов около 5,5%.
Проще всего держать эти риски в одной таблице. Она пригодится как быстрый чеклист при разборе любого нового сервера.

| Риск | Что происходит | Реальный пример |
|---|---|---|
| Отравление инструментов | Скрытые команды в описании, которое читает модель | PoC Invariant Labs, апрель 2025: калькулятор читает SSH-ключ |
| Prompt injection через данные | Команда прячется в письме, тикете, веб-странице | Инъекция в тикете Zendesk отправляет конфиг на чужой email |
| Утечка секретов | Ключи попадают в параметры, логи, BCC | postmark-mcp, сентябрь 2025: BCC всех писем |
| Command injection | Сервер выполняет shell-команды из ввода | Figma MCP оказался уязвим к RCE |
| Rug pull | Инструмент меняет поведение после установки | Обновление payload у уже доверенного сервера |
Как работает prompt injection через отравленные инструменты?
Атака прячет инструкции внутри описания инструмента. Пользователь видит безобидную карточку, а модель читает скрытый приказ и выполняет его во время обычного запроса.
Как это устроено. Инструмент называется, например, «сложить два числа». В его описании, которое подтягивает модель, спрятан текст: прочитай .cursor/mcp.json или RSA-ключ и передай содержимое в параметр side note. Модель выполняет это молча, а сервер возвращает нормальный ответ. В логах пользователя ничего подозрительного.
Термин Tool Poisoning Attack ввела Invariant Labs 6 апреля 2025 года. В их демонстрации калькулятор в редакторе Cursor прочитал приватный SSH-ключ и отправил наружу. Позже команда показала shadowing attack: зараженный инструмент меняет поведение агента по отношению к доверенному серверу, даже если сам ни разу не вызывается явно.
Насколько это работает, показал бенчмарк MCPTox: отравленные описания прогнали против 45 реальных серверов и 20 популярных моделей. Успех атаки достигал 72,8%, а модели почти никогда не отказывались выполнять скрытую инструкцию. Вот в чем штука: LLM не отличает документацию от команды.

Почему данные утекают через логи провайдеров?
Секреты уходят наружу через параметры вызовов, историю и функции самого инструмента. Самый громкий случай, postmark-mcp, копировал каждое письмо злоумышленнику одной строкой BCC.
25 сентября 2025 года Koi Security нашла на npm пакет postmark-mcp. Первые пятнадцать версий работали честно, а версия 1.0.16 добавила единственную строку: скрытый BCC на адрес phan@giftshop.club. Каждое письмо агента, включая сбросы паролей и счета, уходило копией на чужой сервер. По оценке Koi, до 300 организаций отправляли от 3 000 до 15 000 писем в день прямиком атакующему.

Утечка происходит и на стороне платформ. В октябре 2025 уязвимость path traversal в деплой-платформе Smithery открыла доступ к env-файлам с ключами API и OAuth-секретами для более чем 3 000 размещенных приложений. Данные попадают в логи, в параметры инструментов, в переменные окружения. Агент при этом не видит подвоха: инструмент «отправить письмо» отработал успешно.
Отсюда простое правило. Читайте, какие параметры уходят в вызов инструмента, и не держите секреты там, где их может подхватить сторонний сервер.
Как защитить секреты и ключи при подключении MCP?
Минимум прав, минимум времени жизни, ноль хардкода. Выдавайте ключи только на чтение и под одну задачу, а песочница и подтверждение действий закрывают остальное.
Практика защиты секретов. Генерируйте scoped-ключи с доступом только на чтение конкретного ресурса. Например, токен GitHub под один репозиторий, а не под весь аккаунт. Никогда не храните учетные данные в открытом виде в конфиге. Запускайте локальный сервер в контейнере и привязывайте его к 127.0.0.1, а не к 0.0.0.0.
Проблема overprivileged-агентов встречается почти везде: инструменты работают на ключах с широким доступом и часто игнорируют пользовательские разрешения. Решение начинается с гигиены доступа. Один ключ, одна задача, минимальная область видимости.
Дальше подключается автоматика. Ставьте auto-run в режим «спрашивать каждый раз», чтобы агент требовал подтверждения перед вызовом. Отключайте все неиспользуемые инструменты сервера: лишние функции не только расширяют поверхность атаки, но и жгут токены. И держите логирование всех взаимодействий модели с сервером, иначе инцидент будет нечем трассировать.
Максим: «Когда даешь агенту доступ к почте или базе, ты отдаешь ему ключи от квартиры. Через бота GoBanana у нас прошло 200 000+ пользователей, и я каждый MCP пускаю только на чтение и с одним ключом под одну задачу. Один раз слил бюджет на API, потому что не посчитал. Больше не повторяю.»
First-party или third-party что реально опаснее?
Оба типа несут риск, но разной природы. Third-party опасен чужим кодом, first-party опасен данными, которые проходят через доверенный пайплайн.
Миф о том, что серверы первой стороны безопасны по умолчанию, не выдерживает проверки. Инъекция может прийти из данных внутри доверенного конвейера: команда в тикете Zendesk заставляет модель отправить локальный конфиг на внешний адрес. Сервер честный, а данные, которые он обрабатывает, нет.
Разница между двумя типами удобнее в таблице.

| Параметр | First-party (свой вендор) | Third-party (сторонний) |
|---|---|---|
| Источник кода | Официальный вендор | Сообщество, npm, GitHub |
| Главный риск | Инъекция через входящие данные | Вредоносный код и rug pull |
| Что проверять | Логи, права, фильтры на пайплайне | Репутацию, исходники, историю версий |
| Пример угрозы | PII утекает через prompt injection | postmark-mcp с бэкдором |
Вывод без иллюзий. Верификация издателя подтверждает имя, но не поведение. «Проверенный Postmark» все равно может добавить BCC, если репозиторий скомпрометирован.
Что проверить перед деплоем MCP-сервера?
Три стадии: до установки, во время работы, после удаления. На каждой свой список проверок, и пропуск любой стадии оставляет дыру.
Перед тем как скачать MCP и подключить его, пройдите короткий аудит. Он занимает минут пятнадцать и экономит недели разбора инцидента.

Шаг 1. Как проверить сервер до установки?
Ищите официального вендора, а не первый результат поиска. Смотрите на активность репозитория: коммиты, поддержку, число звезд. Не берите серверы из случайных репо. Для локального деплоя читайте исходный код, для облачного проверяйте сервисы аудита рисков конкретного MCP.
Шаг 2. Что настроить во время работы?
Изучите список инструментов сервера, их описания и входные схемы. Выдайте scoped, read-only ключи. Поставьте подтверждение на каждый вызов и внимательно читайте параметры, чтобы не утекли секреты. Отключите подозрительные и лишние инструменты.
Шаг 3. Что сделать после удаления?
Удалите сервер из настроек и JSON-файлов. Отзовите все выданные ему ключи через панель провайдера. Проверьте историю git на неожиданные правки и логи на посторонний исходящий трафик. Ротация секретов обязательна.
| Стадия | Ключевое действие |
|---|---|
| До установки | Проверить вендора, репозиторий, исходники |
| Во время | Scoped-ключи, подтверждение вызовов, отключение лишнего |
| После | Отзыв ключей, аудит git и логов, ротация секретов |
Какие инструменты помогают контролировать MCP?
Базовый стек: MCP Inspector для тестов, OAuth 2.1 для авторизации, шлюз и middleware для фильтрации. Панели уровня MCP Studio берут на себя логи и политики.
OAuth 2.1 это официальный стандарт спецификации MCP для авторизации удаленных серверов. Критичны PKCE (Proof Key for Code Exchange) и Resource Indicators. При провале аутентификации сервер отдает 401 и заголовок с адресом метаданных, по которому клиент находит детали входа. Это заменяет личные токены доступа, которые нельзя давать продакшн-агентам.
Для теста уязвимых серверов используют MCP Inspector, для контроля потока данных ставят middleware-фильтры на основе политик. Паттерн MCP Gateway логически продолжает историю API-шлюзов: он абстрагирует авторизацию и мониторинг в один слой. Команды с десятками агентов часто выносят это в отдельные сервисы, которые в обиходе называют MCP Studio или платными MCP Pro-решениями. Если у вас пара локальных серверов, ручной проверки и OAuth хватит. Тема близка агентам для DevOps, где контроль доступа и логи это ежедневная рутина.
Итог стоит ли вообще подключать MCP-серверы?
Да, если считать каждый сервер недоверенным по умолчанию. Ценность MCP огромна, но она раскрывается только на связке ограниченных прав, песочницы и логов.
Сильная сторона MCP очевидна: один протокол вместо десятков кастомных интеграций, агент реально работает руками. Ради этого стоит разбираться с безопасностью, а не отключать протокол целиком. Полная блокировка это не защита, а отказ от инструмента.
Честная оговорка. Проверка снимает основную часть риска, но не всю. Rug pull может сработать через месяц после установки, а инъекция прийти из данных, которые вы не контролируете. Поэтому защита это не разовая настройка, а привычка: минимум прав, подтверждение действий, регулярный аудит. Ноль доверия к серверу по умолчанию, полное доверие к своим логам.
FAQ по безопасности MCP
Что такое MCP простыми словами? Это открытый стандарт, который подключает AI-агента к внешним данным и инструментам: почте, базам, файлам, API. Через MCP-сервер модель получает руки и ноги, то есть возможность не только отвечать, но и совершать действия за вас.
Насколько опасно подключать MCP-серверы на самом деле? Опасность реальная. В сентябре 2025 пакет postmark-mcp тайно копировал каждое письмо на чужой сервер через строку BCC. По оценке MintMCP, 43% публичных серверов уязвимы к command injection. Проверка перед подключением снимает большую часть риска.
Где безопасно скачать MCP-сервер? Скачать MCP стоит только с сайта официального вендора или из проверенного реестра, а не из случайного репо на GitHub. Смотрите на активность, звезды и историю коммитов. Для локального сервера читайте исходники перед запуском.
Что такое MCP Studio и нужен ли платный MCP Pro? Это не единый продукт, а собирательные названия панелей и платных сервисов управления серверами: логи, политики доступа, песочница. Команде с десятками агентов такой слой оправдан. Соло-разработчику хватит ручной проверки и OAuth.
Как понять, что MCP-сервер отравлен? По одному взгляду не всегда. Отравление прячется в описании инструмента, которое видит модель, но не видит пользователь. Сравнивайте полное описание с тем, что показывает интерфейс, и включайте подтверждение перед каждым вызовом.
Можно ли доверять официальным first-party серверам? Не безоговорочно. Верификация издателя подтверждает имя, но не поведение. Даже доверенный сервер передаст данные наружу, если в его пайплайн попала инъекция через письмо или тикет. Права и логи нужны и здесь.
Что делать, если уже подключил сомнительный сервер? Удалите его из конфигурации и JSON-файлов, отзовите все выданные ключи через панель провайдера. Проверьте историю git и логи почты на посторонний BCC. Ротация секретов обязательна, даже если следов утечки нет.
Глоссарий
MCP (Model Context Protocol) — открытый стандарт подключения LLM к внешним инструментам и данным.
MCP-сервер — программа, которая предоставляет агенту набор инструментов и работает с правами пользователя.
Хост и клиент — приложение (например, Cursor или Claude Desktop) и его компонент, который общается с сервером.
Prompt injection — подмена инструкций модели через данные: письмо, тикет, веб-страницу или описание инструмента.
Отравление инструментов (tool poisoning) — скрытые команды внутри описания инструмента, которое читает модель.
Rug pull — вредоносное обновление уже установленного и доверенного инструмента.
Confused deputy — ситуация, когда сервер путает права разных пользователей и отдает чужие данные.
OAuth 2.1 — стандарт авторизации из спецификации MCP, с PKCE и Resource Indicators.
Scoped-ключ — токен с доступом только к одному ресурсу и только на нужные операции.
Exfiltration — скрытая передача данных наружу, часто через логи, параметры или BCC.
Что дальше
Начните с малого: возьмите один сервер, который уже подключен, и прогоните его по чеклисту из этой статьи. Отзовите лишние права, включите подтверждение вызовов, проверьте логи.
Разбор конкретных инструментов и их безопасных связок собран в каталоге AI-инструментов на VibeCoderz. А если нужно быстро выстроить безопасный агентный стек под свою задачу, запишитесь на консультацию к Максиму: разложим по шагам, что подключать и как ограничивать доступ.
Внешние источники: OWASP MCP Top 10, разбор кейса postmark-mcp у Koi Security и аналитика отравления инструментов у MintMCP.
Статья обновлена в июле 2026 года. Мы актуализируем кейсы и уязвимости по мере появления новых данных.