Массовое внедрение ИИ-инструментов в корпоративные процессы опережает формирование устойчивых практик их защиты. MCP часто разворачивается как вспомогательный компонент – через плагины IDE, контейнеры или open-source сборки, – и проходит минимальный аудит. При этом сама логика протокола предполагает доверие к конфигурационным файлам и подключаемым инструментам. Любая ошибка в настройке или публикации узла мгновенно превращается в точку входа. В результате даже компании с развитым SOC фиксируют инциденты, источник которых лежит вне традиционного периметра.
Формально многие MCP-серверы используют актуальные версии библиотек и проходят базовое сканирование зависимостей. Однако анализ показывает, что 8% узлов содержат открытые API-ключи, 7% уязвимы к атакам типа Path Traversal (класс уязвимостей веб‑приложений, позволяющий злоумышленнику читать произвольные файлы за пределами корневой директории приложения и в отдельных случаях приводить к удалённому выполнению кода), 6% допускают Command или Code Injection, а 2% подвержены SQL-инъекциям. В абсолютных цифрах это сотни потенциально скомпрометированных серверов.
Глубинные причины лежат на стыке архитектуры LLM и организационных процессов. Современные модели по-прежнему не способны надежно различать инструкции разработчика и пользовательский ввод, если они проходят через один и тот же канал вызова инструмента. Это открывает возможности для манипуляций, при которых злоумышленник заставляет систему выполнять не предусмотренные сценарии. Дополняет картину дефицит специалистов, способных оценивать риски AI-интеграций. По оценке «Информзащиты», нехватка экспертов в области AI Security в 2026 году достигла примерно 43%. Внешние факторы также играют роль: распространение вредоносных npm-пакетов, имитирующих легитимные интеграции, и активное обсуждение MCP как канала скрытого управления на подпольных форумах формируют устойчивый интерес со стороны атакующих.
Отраслевой разрез подтверждает, что проблема носит прикладной характер. Финансовый сектор формирует 24% всех выявленных уязвимых MCP-инсталляций. Банки и финтех активно используют LLM для автоматизации клиентских сервисов и скоринга, интегрируя модели с внутренними системами через MCP. Ритейл занимает 19%, где ИИ подключается к системам управления запасами и персонализированным предложениям. ИТ-компании и разработчики ПО составляют 17% – здесь распространены экспериментальные среды и быстрые релизы без полноценного security review. Телеком – 14%, промышленность – 11%, оставшиеся 15% приходятся на медицину, образование и госсектор. В последних сегментах последствия компрометации усугубляются чувствительностью данных.
Компаниям необходимо проводить регулярный аудит MCP-серверов с моделированием инъекционных атак, выносить хранение ключей в защищенные хранилища, сегментировать инфраструктуру и ограничивать исходящие соединения с узлов MCP. Существенный эффект дает внедрение поведенческого анализа вызовов инструментов и корреляция событий MCP с данными SIEM и EDR. Не менее важно формировать внутри компаний компетенции AI Security и включать требования к безопасной конфигурации MCP в процессы разработки и CI/CD.
По прогнозу «Информзащиты», при отсутствии дополнительных мер доля уязвимых MCP-серверов к концу 2026 года может приблизиться к 45%, а средняя стоимость инцидента, связанного с их компрометацией, вырастет еще на 20%. MCP уже стал одним из наиболее привлекательных элементов ИИ-инфраструктуры для атакующих. В 2026 году именно этот сегмент будет определять вектор развития защиты систем, использующих большие языковые модели, и степень готовности бизнеса к новой реальности угроз.