Представляем MCP
Успех стандартов зависит от того, насколько их принимают, а не от технического совершенства. Протокол контекста модели (MCP), который Anthropic представила в конце 2024 года, сразу учел этот фактор. Он решил базовую задачу: как моделям искусственного интеллекта (ИИ) общаться с внешними сервисами. Простота реализации и очевидная выгода быстро запустили цепную реакцию, превратившую идею в общепринятый стандарт. Однако, как отмечает исследователь ИИ и дата-инженер Себастьян Валкёттер в недавнем интервью, молниеносное распространение выявило серьезные вызовы в области безопасности, масштабирования и уместности ИИ-агентов для всех задач.
Валкёттер смотрит на эти темы с необычной стороны. В 2022 году он защитил докторскую по взаимодействию человека и роботов в Университете Уппсалы, изучая, как сделать совместную работу более естественной. Потом перешел в коммерческий ИИ, занимаясь приложениями больших языковых моделей (LLM) и системами агентов. Такой опыт соединяет теорию с практикой, помогая видеть не только возможности технологий, но и их ограничения в реальности.
Почему MCP обошел конкурентов
Протокол контекста модели дал универсальный способ для моделей ИИ обращаться к сервисам и инструментам. Раньше каждый разработчик LLM и каждый создатель инструментов мастерил свои собственные связи. MCP ввел единый язык общения.
"MCP в основном про вызов инструментов", — рассказывает Валкёттер. "У вас есть агент или LLM, и он должен работать с Google Docs, календарем или GitHub".
Распространение пошло как в классических историях платформ. Когда Facebook набрал критическую массу пользователей, эффект сети сделал его незаменимым. MCP достиг той же точки: провайдеры внедряли его из-за спроса пользователей, а те требовали поддержку от провайдеров. Это сработало без границ — в США и Европе одинаково активно.
Темпы удивили всех. С октября 2024 года крупные платформы подключили MCP. Валкёттер думает, старт дали разработчики, увидевшие пользу: "Наверное, какой-то инженер решил: 'Забавный формат, давай используем'". Дальше пошло по цепочке: "Когда MCP набрал обороты, все провайдеры его поддержали. Зачем тогда не сделать MCP-сервер, чтобы работать со всеми моделями? И наоборот: раз серверов полно, почему не добавить поддержку? Так растет совместимость". Из спецификации протокол превратился в стандарт быстрее, чем ждали.
Пробелы в безопасности
Стремительный рост показал слабости первой версии. Разработчики сразу нашли дыру: "В MCP изначально не было аутентификации. Любой мог подключиться к серверу, запустить команды — и это чревато".
Аутентификация здесь сложнее обычной веб-безопасности. Участники три: пользователь, провайдер LLM вроде Anthropic или OpenAI, плюс поставщик сервиса вроде GitHub или Google Drive. В вебе обычно две стороны, и все просто. А тут нужно учитывать всех сразу.
"Есть MCP-сервер, провайдер LLM и сам пользователь, — поясняет Валкёттер. — Кого и как проверять? Anthropic общается с GitHub от имени пользователя? Значит, аутентифицирует пользователь".
С автономными агентами еще запутаннее. Пользователь просит агента спланировать поездку и забронировать — агент звонит серверам MCP без присмотра. Кто в ответе: создатель агента, сам пользователь или кто-то еще? Вопросы технические, юридические и этические пока без ответов.
Угроза инъекции промта
Кроме аутентификации, MCP сталкивается с проблемой без надежного решения: инъекция промта. Злоумышленники подменяют поведение ИИ вредоносными запросами, которые перекрывают заданные инструкции.
Валкёттер сравнивает с ранними SQL-инъекциями в вебе. Тогда разработчики впихивали ввод пользователя прямо в запросы к базе, и атакующие вставляли свой код. Выход нашли в параметризованных запросах: данные отделены от структуры, ввод — просто данные, не код.
"Решение будет похоже на SQL, — предполагает Валкёттер. — Сначала отправляем промт, потом данные для слотов отдельно. Система перед LLM проверяет на инъекцию".
Хотя подход логичен, готового инструмента нет. Провайдеры LLM учат модели ставить системные инструкции выше пользовательских, но это не панацея. "Всегда найдут обход, идеального способа нет", — признает он.
Инъекция бьет не только по безопасности, но и по надежности. Данные от MCP-сервера в контексте модели могут нести команды, сбивающие агента с пути. Без фикса автономные агенты без контроля — рискованная затея.
Подводные камни избытка инструментов
Простота MCP рождает неожиданную проблему. Добавлять инструменты легко, и разработчики натаскивают десятки MCP-серверов. Это реально замедляет работу.
"Видел случаи, когда энтузиасты навешали 30–40 серверов с функциями, — делится Валкёттер. — Вдруг половина или больше окна контекста уходит на описания инструментов с самого начала".
Каждый инструмент требует описания: что делает, какие параметры. Это жрет токены в окне контекста — ограниченном хранилище всей нужной информации. Когда описания занимают половину, на историю чата, документы или факты места мало. Результат предсказуем: хуже качество.
Плюс модель сама теряется в куче похожих опций. "Сейчас в сети говорят: около 30 — практический предел, дальше падает производительность", — уточняет Валкёттер.
Это влияет на архитектуру. Один мега-агент со всем или несколько узких? Зависит от контекста. Валкёттер дает наглядный ориентир: "В приличных агентах окно — 200 тысяч токенов. Это примерно весь 'Гордость и предубеждение' Джейн Остин".
Такая аналогия с книгой помогает понять масштаб. Если агенту нужен бизнес-контекст, правила форматирования, история проекта — это уже много. Плюс 30 инструментов — и система на пределе.
Выход — продуманная архитектура агентов. Вместо универсала лучше узкие: один на поездки, другой на почту, третий на календарь. Каждый с минимумом инструментов и четкими задачами, без путаницы.
Когда ИИ не нужен
Опыт Валкёттера с роботами дает свежий взгляд на ИИ-проекты. В докторской по гуманоидам он понял: трудно найти кейсы, где сложная форма лучше простых альтернатив.
"Гуманоиды — как неустойчивое равновесие, — сравнивает он с физикой. Идеально стоящий маятник может держаться вечно, но малейшее толчок — и падает. С роботами то же: круто в демо, но на практике сложность не окупается".
"Стоит задуматься, нужна ли такая конфигурация гуманоида? — спрашивает Валкёттер. — Убери ноги, поставь колеса: стабильнее, проще, дешевле, надежнее".
Это прямо про ИИ-агентов. Недавно он увидел систему для кода с агентом, ищущим ненадежные тесты.
"Зачем агент на LLM для этого? — удивлялся он. — Запусти тест 10 раз: если то проходит, то нет — он ненадежный".
Такая история типична. Команды лепят ИИ на задачи с дешевыми детерминированными решениями. Привлекательность новизны затмевает простоту. LLM жрет ресурсы и иногда лажает, а обычный подход решает мгновенно и стабильно.
Это касается не только техник, но и стратегии. MCP упрощает добавку ИИ в процессы, но легкость провоцирует слепое внедрение без проверки ценности.
"Это лучший путь или просто 'ИИ круто, кинем везде'?" — вопрошает Валкёттер. Перед вложениями стоит серьезно взвесить.
Парадокс рынка труда
Интервью затронуло влияние ИИ на рабочие места неожиданно. Валкёттер сначала верил: ИИ усилит людей, как прошлые технологии. Теперь сомневается.
"Я ошибался, — признает он. Когда ИИ взлетел, все говорили: 'Не ИИ тебя заменит, а тот, кто им пользуется'. Казалось логично, по аналогии с историей".
"Печатная машинка вышла — писари пером ругали: убивает душу письма, машина бездушная. А через десятилетия все на компах", — приводит пример.
Сопротивление сменялось принятием. Но ключ — тип работы: фиксированный объем или растущий. В разработке софт растущий. "Раньше тикет — код — мердж — следующий. Теперь быстрее, больше тикетов".
Экономия на рутине не убирает инженеров. "Время на поддержку сократилось — больше на инновации. Доля инноваций растет, пул задач расширяется".
А поддержка клиентов — фиксированная. "Запросов столько, сколько приходит, компании не изобретают новое в саппорте. Хотят: решить вопрос, дать ответ, приятный опыт. И точка".
Разница огромна. В саппорте ИИ берет на себя кейсы — и команды сокращаются. "Где работало четверо, хватит одного".
Это правило expandable vs fixed определяет судьбу ролей. Если эффективность открывает новые задачи — устойчиво. Если объем задан извне и без инноваций — риск.
Новая картина сложнее: не просто замена или усиление. Нужно смотреть на суть работы, ограничения объема и куда уходит выигрыш от скорости — в рост или сокращения.
Что дальше
Молниеносный успех MCP показал, как ИИ-индустрия жаждет стандартов и совместимости. Протокол решил реальную боль просто и эффективно. Но вскрывшиеся проблемы подчеркивают незрелость в ключевых зонах.
Безопасность — аутентификация и инъекция промта — требует базовых решений, а не заплаток. Нужны фреймворки для трехсторонних взаимодействий агентов. Без них enterprise-внедрения рискованны.
Переизбыток инструментов и выбор задач для ИИ требуют дисциплины в архитектуре. Легко добавлять — не значит добавлять наобум. Перед агентами проверять: дает ли ИИ преимущество над простыми методами.
Взгляд Валкёттера из робототехники и коммерческого ИИ подчеркивает: ищите стабильные кейсы, а не гонитесь за техникой ради техники. Гуманоиды — предупреждение: демо не равно практике.
По мере доработки MCP Anthropic и сообществом — безопасность, масштабирование, удобство — протокол останется ключевым для инструментов ИИ. Как он справится, решит, перейдут ли агенты от экспериментов к надежной инфраструктуре.
В итоге вопрос простой, но глубокий: можем построить с ИИ — стоит ли? Ответ в честной оценке альтернатив, балансе затрат и выгод, сопротивлении трендам. MCP связывает ИИ с миром мощно. Использовать мудро — та же инженерия, что его создала.