Ключевые выводы
- MCP даёт агентным системам стандартный способ вызывать инструменты, выполнять действия и отслеживать результаты внутри автономных рабочих процессов.
- Каждое MCP-соединение расширяет поверхность принятия решений агентом, включая выбор инструмента, привязку параметров, обработку возврата и последующие действия.
- Командам управления нужна видимость MCP-серверов, доступных инструментов, подключённых агентов, ограничений на принятие решений и шаблонов вызовов.
- Управление MCP должно включать владение, ограниченные разрешения, мониторинг в реальном времени, аудиторские следы, проверки доступа и триггеры повторного утверждения.
- Самый большой риск неконтролируемых MCP-соединений — неконтролируемая автономия агентов внутри корпоративных систем.
Что такое MCP в агентном ИИ?
Протокол контекста модели (Model Context Protocol) — это стандарт вызова, который позволяет агентным системам обращаться к внешним инструментам, выполнять действия и отслеживать результаты в рамках автономных рабочих процессов. MCP находится между уровнем планирования агента и системами, которые он может вызывать.
На техническом уровне MCP использует архитектуру «хост-клиент-сервер». Хост — это AI-приложение, клиент управляет соединением, а MCP-сервер предоставляет возможности: инструменты, ресурсы и промты. В корпоративной среде наибольший риск обычно связан с инструментами, поскольку они позволяют агентам запрашивать базы данных, вызывать API, обновлять записи, запускать рабочие процессы или выполнять вычисления.
Это меняет то, как работают агенты. Агент поддержки может спланировать ответ, получить историю обращения, внести изменения и скоординировать последующие действия в одном цикле. Агент-разработчик может анализировать репозитории кода, запускать тесты и планировать развёртывание. Финансовый агент может получать отчёты, запускать согласования и отслеживать результаты.
Как только агент получает возможность выполнять MCP-инструменты, предприятию нужно знать: к чему агенту разрешён доступ; какие решения он должен принимать; какие инструменты он реально вызывает; можно ли проверить его цепочку решений.
Почему MCP-соединения создают риски для управления?
MCP-соединения создают риск тем, что предоставляют агентам структурированную поверхность для вызовов внутри циклов планирования. Как только агент может вызвать MCP-сервер, он может получать контекст, вызывать функции, запускать действия и использовать результаты работы инструментов на следующих шагах планирования — часто внутри автономного цикла с ограниченным контролем человека.
| Риск | Что происходит | За чем нужно следить |
|---|---|---|
| Семантический сбой инструмента | Агент неправильно понимает назначение инструмента или когда его использовать | Описания инструментов, предусловия, побочные эффекты; галлюцинированные инструменты |
| Каскадное раскрытие | Результат одного инструмента становится контекстом для другого вызова | Поток данных между инструментами и последующий доступ |
| Выполнение без проверки | Агент выполняет последовательности инструментов без промежуточной проверки | Шаги планирования; проверка ограничений; поведение цикла |
| Расширение набора инструментов во время выполнения | MCP-сервер открывает новые инструменты после утверждения доступа агенту | Изменения сервера; отклонение от утверждённого набора |
| Инъекция промтов (Prompt injection) | Возвращаемые данные от инструмента направляют следующий шаг планирования агента | Валидация возврата; неожиданные действия |