MCP описывает формат обмена, но не описывает enforcement безопасности — это создаёт «открытые двери», если сервер подключён к агенту напрямую.
Что показала практика начала 2026:
- Для MCP-серверов, клиентов и инфраструктуры опубликован ряд уязвимостей.
- CVE-2025-6514 в `mcp-remote`: вредоносный MCP-сервер мог передать сформированный authorization URL прямо в системный shell — удалённое исполнение кода.
- Типовой класс рисков — prompt injection через описания инструментов и ресурсов, ведущий к несанкционированному доступу и утечке данных.
Отраслевой ответ — ставить MCP-гейтвей как policy enforcement point: OAuth-инъекция идентичности, валидация схем, обфускация ПДн и аудит каждого вызова инструмента. Именно так доступ агентов разделяется на «что агент умеет» и «к чему ему дан доступ».
