Мы оказались на краю пропасти, которую сами же неосознанно вырыли, и головокружительная глубина нашего коллективного пренебрежения должна заставить каждого специалиста по безопасности глубоко задуматься.
В нашей стремительной гонке по внедрению ИИ-агентов в корпоративные среды мы возвели инфраструктуру, настолько совершенно незащищенную, что это не поддается осмыслению. Протокол контекста модели (Model Context Protocol, MCP), представленный Anthropic в ноябре 2024 года в качестве связующего звена между большими языковыми моделями и внешними инструментами, распространился с поразительной быстротой. Что явно не успевало за ним, так это хоть какое-то подобие дисциплины в области безопасности. Пропасть между скоростью внедрения и зрелостью систем безопасности становится все более опасной с каждым новым развертыванием.
Исследователи безопасности из Knostic прошлым летом количественно оценили масштаб нашей проблемы. Их методичная разведка в интернете обнаружила 1862 сервера MCP, открыто доступных из публичной сети. Когда они вручную проверили выборку из 119 экземпляров, результаты превзошли все ожидания: каждый отдельный сервер предоставлял неаутентифицированный доступ к внутренним спискам инструментов. Не большинство. Не девяносто процентов. Все сто процентов. Организации фактически транслируют полные инвентаризационные списки своих возможностей ИИ любому, кто достаточно проницателен, чтобы их перечислить, не требуя даже формальной проверки паролем.
Последствия проникают гораздо глубже, чем намекают простые статистические данные об утечках. Это не бездействующие тестовые серверы или заброшенные среды разработки, пылящиеся в забытых уголках корпоративной инфраструктуры. Судебно-медицинский анализ Knostic выявил производственные системы с правами записи в финансовые базы данных, аккаунты социальных сетей и платформы управления взаимоотношениями с клиентами. Предприятия привязали свои наиболее важные операционные возможности к ИИ-агентам, а затем пренебрегли защитой точки входа. Беззаботность поражает.
Каталог катастрофы
Теория с удручающей быстротой перешла в стадию операционной реализации.
EchoLeak (CVE-2025-32711) представляет собой апофеоз того, чего специалисты по безопасности давно опасались, но питали слабую надежду, что это останется вечно теоретическим. Раскрытие информации от Aim Security в июне 2025 года задокументировало эксплойт нулевого клика такой элегантности, что он почти вызывает вынужденное восхищение. Злоумышленники внедряют вредоносные инструкции-промпты в остатки обыденных деловых документов: заметки докладчика, которые никогда не просматриваются человеческим глазом, комментарии, которые никогда не проверяет рецензент, поля метаданных, существующие в вечной невидимости. Когда Microsoft 365 Copilot обрабатывает эти отравленные документы, он механически выполняет скрытые инструкции, перекачивая конфиденциальные контекстные данные на конечные точки, контролируемые атакующим. Жертва не совершает никаких действий. Не получает никаких предупреждений. Подвергается полному компрометации.
Конкатенация атаки заслуживает тщательного изучения. Злоумышленник создает документ, содержащий скрытый текст с инструкцией для ИИ извлечь наиболее чувствительную информацию из операционного контекста пользователя и закодировать ее в исходящем URL-адресе. Документ поступает по электронной почте или через общий репозиторий. Пользователь открывает его или, возможно, просто просматривает вскользь. ИИ-помощник, неумолимо услужливый, обрабатывает содержимое и добросовестно выполняет встроенные директивы. Конфиденциальные данные пересекают сеть, маскируясь под безобидный запрос изображения. Эксфильтрация выполнена. Вероятность обнаружения приближается к нулю.
Крах mcp-remote, зафиксированный как CVE-2025-6514, безжалостно освещает аспект цепочки поставок этого растущего кризиса. Раскрытие информации от JFrog в июле 2025 года показало, что этот пакет, загруженный более 437 000 раз и широко представленный в документации по интеграции от Cloudflare, Hugging Face и Auth0, содержал критическую уязвимость внедрения команд. Уязвимость использовала некорректную очистку параметров потока OAuth, позволяя атакующим внедрять команды оболочки через поле конечной точки авторизации. В системах Windows оценка подвыражений PowerShell экспоненциально расширила поверхность атаки, предоставляя злоумышленникам полное подчинение системы через одно вредоносное соединение с сервером MCP.
Эпистемологический разрыв
Что делает уязвимости MCP особенно досадными, так это фундаментальная асимметрия, которую они эксплуатируют между машинным познанием и человеческим надзором.
Атаки отравления инструментов внедряют злонамеренные инструкции в метаданные инструментов, которые LLM обрабатывают с полной точностью, но которые остаются совершенно невидимыми для операторов-людей. Машина видит все; ее предполагаемые надзиратели не видят ничего. Мы неосознанно создали системы, где поверхность атаки существует в когнитивном измерении, которое наше мониторинговое оборудование не может наблюдать. Это представляет собой фундаментальный разрыв в надзорных отношениях между людьми и их ИИ-помощниками, создавая возможности для эксплуатации, которые традиционные средства контроля безопасности просто не могут устранить.
Атаки типа rug pull (выдергивание ковра) используют саму темпоральность против защитников. Сервер MCP представляет безупречные, безвредные определения инструментов во время первоначальной проверки безопасности, получая одобрение и устанавливая доверие. Впоследствии эти определения подвергаются тайной трансформации, включая вредоносную функциональность там, где ее ранее не существовало. Поскольку большинство клиентов MCP остаются неактивными при изменении определений, злоумышленники безнаказанно портят ранее санкционированные инструменты. Временной разрыв между одобрением и эксплуатацией делает традиционные точечные оценки безопасности совершенно ничтожными.
Перекрестное заражение серверов многократно усугубляет эти опасности. Когда несколько серверов MCP подключаются к одному и тому же контексту LLM, вредоносный сервер может внедрить инструкции, влияющие на поведение агента по отношению к доверенным серверам. Учетные данные аутентификации, предназначенные для законных служб, перенаправляются через каналы, контролируемые противником. Тщательно выстроенные нами отношения доверия превращаются в векторы атак сами по себе.
Построение действительно работающей защиты
Традиционный аппарат безопасности оказывается вопиюще неадекватным перед лицом этих уникальных векторов угроз. Требуется целенаправленно созданный фреймворк, признающий специфические уязвимости MCP с соответствующей архитектурной строгостью.
Фреймворк агентского доверия (Agentic Trust Framework) от Cloud Security Alliance, опубликованный в феврале 2026 года, формулирует основополагающие принципы, которые нам отчаянно необходимы: ИИ-агенты требуют такого же строгого управления идентификацией, как и пользователи-люди. Никакого неявного доверия. Аутентификация и авторизация при каждом взаимодействии без исключений. Строгое разделение между рассуждением и действием. Эти принципы должны быть преобразованы в оперативные меры контроля до того, как заголовки о взломах выйдут из-под контроля.
Архитектурная диаграмма иллюстрирует многоуровневую модель защиты, реализующую эти принципы с методологической строгостью. Криптографический уровень верификации устанавливает подлинность сервера посредством проверки сертификатов X.509 и непрерывного подтверждения возможностей; любое изменение определения вызывает расхождения хешей, инициируя обязательную повторную авторизацию, что нейтрализует атаки rug pull у их истоков. Система динамического мониторинга целостности использует семантическое отпечатывание для точного обнаружения дрейфа определений, применяя алгоритмы isolation forest для выявления аномальных шаблонов вызовов, указывающих на компрометацию. Движок валидации цепочки поставок решает семантическую природу отравления инструментов посредством сканирования, специфичного для MCP, анализируя описания инструментов на предмет враждебных шаблонов промптов и техник обфускации Unicode, которые избегают поверхностного осмотра. Точка принудительного применения политик реализует гранулярную авторизацию для каждого вызова инструмента, включая личность субъекта, чувствительность ресурса, контекст среды и оценку риска в реальном времени. Грубозернистые разрешения сеанса уступают место непрерывной, контекстно-зависимой оценке.
Императив немедленных действий
Командам по безопасности необходимо действовать быстро и решительно. Обеспечьте аутентификацию на каждом сервере MCP без исключений и оговорок. Сегментируйте сети, чтобы полностью исключить прямое воздействие интернета. Внедрите неизменяемое версионирование с криптографической подписью для всех определений инструментов. Разверните поведенческий мониторинг, способный обнаруживать аномальные шаблоны вызовов, указывающие на компрометацию или неправомерное использование. Требуйте одобрения человека в цикле для чувствительных операций, вместо того чтобы рассматривать рекомендации спецификации как просто желательное руководство.
Данные сканирования за февраль 2026 года дают слабое утешение тем, кто ищет заверений. Процент неаутентифицированных серверов пропорционально снизился до 41 процента. Прогресс, по-видимому. Но абсолютный объем утечек увеличился в десять раз, поскольку внедрение ускоряется с головокружительной скоростью. Противник распознал возможность перед нами с хищной проницательностью, а телеметрия ловушек (honeypot) подтверждает активную разведку против инфраструктуры MCP со стороны изощренных угроз из множества географических регионов.
Ваша инфраструктура ИИ представляет собой либо бесценный актив, либо катастрофический пассив. Противник изложил свою оценку с холодной ясностью. Окно для значимых действий сужается с каждой неделей, а цена бездействия экспоненциально возрастает. Фреймворк существует. Архитектура реализуема. Остается только организационная воля.
Проявили ли вы ее?
Эта статья публикуется в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sunil Gentyala
