Компания Adversa опубликовала обзор топ‑25 уязвимостей Model Context Protocol (MCP), позиционируя его как самый комплексный анализ рисков MCP на текущий момент. Документ сочетает перечень угроз, методику ранжирования и практическое руководство по защите для команд, которые проектируют и внедряют агентные ИИ‑решения.
Что такое MCP и почему он важен для безопасности ИИ‑агентов
Model Context Protocol, представленный Anthropic в 2024 году как открытый стандарт, описывает единый способ безопасного подключения ИИ‑агентов к внешним инструментам, данным, другим агентам и контексту. По сути, MCP нормирует «как» и «через что» агент взаимодействует со средой, делая эти операции последовательными и подотчетными. Как и любая программная платформа, MCP подвержен уязвимостям, которые могут привести к утечке данных, эскалации привилегий или удаленному выполнению кода.
Параллельно сообществом готовится инициатива OWASP по формированию собственного MCP Top‑10. Пока она не опубликована, Adversa стремится закрыть разрыв и уже сейчас предоставить компаниям ориентиры по приоритизации рисков. Исследователи отмечают готовность соотносить результаты с подходами OWASP/CSA/NIST и вносить вклад в будущую рамку OWASP для MCP.
Как Adversa оценивает уязвимости MCP
Методика и критерии ранжирования
Каждая уязвимость характеризуется «официальным» и альтернативными названиями, оценками воздействия и эксплуатируемости, а также ссылками на первоисточники. Воздействие варьируется от критического (полная компрометация или RCE) до низкого (раскрытие информации), а эксплуатируемость — от тривиальной (достаточно базовых знаний и браузера) до весьма сложной (теоретическая атака с уровнем ресурсов государства).
Итоговый балл формируется по формуле: 40% — серьезность последствий, 30% — легкость эксплуатации, 20% — распространенность, 10% — сложность исправления. Такая схема помогает организациям выстраивать приоритеты исправлений и комплементарных компенсирующих контролей.
Лидеры риска: промпт‑инъекции
В текущем рейтинге на первом месте — промпт‑инъекция: сочетание высокой критичности и низкого порога эксплуатации выводит ее в категорию первоочередных угроз для MCP‑сред. На другом полюсе — MCP Preference Manipulation Attack (MPMA), занявшая 24‑ю позицию из‑за ограниченного воздействия и высокой сложности практической эксплуатации.
По словам сооснователя и CTO Adversa AI Алекса Полякова, документ будет обновляться ежемесячно или по мере появления инцидентов и CVE, требующих срочного пересмотра. Сейчас многие ссылки указывают на первые описания проблем; по мере выхода исчерпывающих публикаций они будут заменены на более качественные источники.
Практические меры защиты MCP‑инфраструктуры
Немедленные действия: валидация входных данных
Исследователи рекомендуют начать с базовой гигиены: обязательная валидация и очистка всех входящих данных. По оценке Adversa, 43% MCP‑серверов уязвимы к инъекциям команд, что делает строгую фильтрацию входных запросов и нормализацию контента критически важной.
Многоуровневая стратегия: протокол, приложение, ИИ‑специфика, инфраструктура
Adversa предлагает четырехуровневую модель защиты: на уровне протокола — обязательный TLS для всех соединений; на уровне приложений — параметризованные запросы к БД и безопасная обработка файлов; в ИИ‑слое — противодействие промпт‑инъекциям и управляемое использование инструментов агентом; в инфраструктуре — минимизация привилегий, журналирование и мониторинг аномалий.
Дорожная карта на 3 месяца
План смягчения охватывает квартал: немедленно — включить аутентификацию на всех открытых эндпоинтах и закрыть очевидные векторы инъекций; в среднесрочной перспективе — расширить сегментацию сети, внедрить контроль доступа по принципу наименьших привилегий и централизованный аудит; к концу третьего месяца — перепроектировать архитектуру под модель zero‑trust для устойчивости к скомпрометированным компонентам и поставщикам.
Связь с OWASP, CSA и NIST
Сопоставление уязвимостей MCP с известными таксономиями (OWASP, Cloud Security Alliance, NIST) упрощает внедрение процессов управления рисками и комплаенса. Adversa заявляет о планах активно участвовать в формализации OWASP MCP Top‑10, обеспечивая единый язык для разработчиков, SecOps и аудиторов.
Компании, строящие ИИ‑агенты на MCP, уже сегодня могут повысить устойчивость, если проведут инвентаризацию MCP‑эндпоинтов и инструментов, внедрят многоуровневую защиту и обучат команды противодействию промпт‑инъекциям. Отслеживайте ежемесячные обновления перечня уязвимостей, увязывайте риски с OWASP/CSA/NIST и планомерно переходите к архитектуре zero‑trust — это позволит снизить вероятность инцидентов и сократить их воздействие на бизнес.