Все заметки
12 520 инструментов для агентов висят в интернете без замка

6 июня 2026 г.

12 520 инструментов для агентов висят в интернете без замка

Исследователи безопасности просканировали интернет и нашли 12 520 MCP-серверов — это коннекторы инструментов, через которые ИИ-агенты делают реальные вещи, — открытыми, большинство вообще без аутентификации. Некоторые позволяли любому постороннему делать запросы к базе или выполнять команды оболочки. Протокол только что сделал аутентификацию обязательной в июньской спецификации, но ущерб обнажил баг глубже: дефолтом было «без замка», и люди выкатывали дефолт. Если до инструмента дотягивается ваш агент, до него дотягиваются и все остальные — если только вы не решили иначе намеренно.

Вот предложение, которое должно встревожить любого, кто строит с агентами. В конце апреля сканирующая фирма Censys прошлась по публичному интернету и нашла 12 520 MCP-серверов, доступных кому угодно, большинство — без всякой аутентификации.

Если «MCP-сервер» ни о чём не говорит — вот простая версия. MCP, Model Context Protocol, — это как ИИ-агент получает руки: стандартный способ дать модели инструменты, чтобы она могла обратиться к базе, отправить письмо, выполнить команду, тронуть реальную систему. MCP-сервер — это коробка, которая выставляет эти инструменты наружу. И 12 520 таких висели в открытом интернете с незапертой дверью.

Хуже становится, когда смотришь, что эти инструменты делают. Крупнейшей категорией у Censys оказались прямые интерфейсы запросов к базам данных. Ещё большой кусок — «управление системой»: серверы, выставляющие выполнение команд и удалённое взаимодействие с системой. Иначе говоря: посторонние в интернете могли перечислить доступные инструменты, а потом вызвать их — прочитать данные, выполнить команды, — и никто не проверял, кто они. Другая команда, Knostic, нашла 1862 открытых сервера и вручную проверила выборку; каждый позволял анонимному гостю прочитать внутренний список инструментов.

Протокол только что сделал замок обязательным. Это и есть подсказка.

Хорошая новость, вроде бы: спецификацию MCP обновили, и теперь любой сервер, доступный по сети, обязан использовать OAuth 2.1 с PKCE — настоящую аутентификацию, а не систему «на честном слове». Замок наконец требуется.

Но вдумайтесь, почему его пришлось добавлять. Большую часть жизни MCP спецификация просто не требовала аутентификации. Протокол проектировали под локальный запуск, на своей машине, внутри доверенной границы — там «без аутентификации» был разумным дефолтом. А потом люди взяли те же серверы и выставили их в интернет, где локальный инструмент без замка превращается в открытый, неаутентифицированный пульт удалённого управления. Тысячи открытых серверов — в основном не результат того, что кто-то отключил защиту. Это результат того, что люди выкатили дефолт, а дефолт был «выключено».

Вот урок, и он старше MCP: дефолты — это судьба. Что делает лёгкий путь, то и сделает большинство развёртываний. Протокол, у которого лёгкий путь — «без замка», произвёл двенадцать тысяч незапертых дверей, ровно как и предсказуемо.

Это та же дыра, на слой ниже

Я писал, что ваш агент доверяет описанию инструмента: модель поверит чему угодно, что инструмент ей скажет, — это риск отравления. А это пол под тем этажом: прежде чем переживать, что инструмент врёт вашему агенту, переживайте о том, может ли посторонний вообще вызвать ваши инструменты. Открытый MCP-сервер — это агентный эквивалент базы данных без пароля. Хитрая атака не нужна. Нужно заметить, что дверь открыта, — а это сканеры делают автоматически, в масштабе интернета, каждый день.

И это не теория. Один популярный вспомогательный пакет для MCP содержал уязвимость внедрения команд и был скачан больше 437 000 раз, прежде чем его поймали. Слой инструментов новый, несётся быстро и полон той самой базовой открытости, которую веб двадцать лет учился закрывать.

Что реально делать

Не нужно быть специалистом по безопасности, чтобы не оказаться одним из двенадцати тысяч. Короткий негламурный чек-лист:

  • Считайте каждый эндпоинт инструмента доступным, пока не доказали обратное. Не верьте «это только в нашей сети». Весь смысл Knostic в том, что «внутренние» серверы постоянно оказываются снаружи. Ставьте аутентификацию в любом случае.
  • Включите замок — спецификация теперь сама вам его даёт. OAuth 2.1 с PKCE — обязательный минимум для любого сетевого MCP-сервера. Пользуйтесь. «Добавим аутентификацию потом» — это как стать статистикой.
  • Дайте каждому инструменту минимум власти. Инструмент управления системой или сырого доступа к базе, выставленный агенту, — это заряженное оружие. Урежьте права: только чтение, где можно, узкие запросы, никакой оболочки без реального человека в контуре.
  • Следите за вызовами. Опрос Cisco в этом году нашёл, что 71% организаций крутят агентов, которых не могут толком мониторить. Если вы не видите, какие инструменты сработали и от чьего имени, вы не поймаете день, когда всё пойдёт не так.

Суть

Агенты волнуют, потому что умеют делать. В этом же вся опасность: в тот миг, когда ваш агент может выполнить запрос или команду, вопрос не в том, насколько мощна эта возможность, — а в том, кто ещё до неё дотянется. Двенадцать тысяч команд только что ответили на этот вопрос случайно, и ответ был «кто угодно».

Спецификация, добавившая обязательную аутентификацию, — это взросление экосистемы. Не ждите, что дефолт вас спасёт. Дверь не запирается сама — а в интернете кто-то уже всегда дёргает ручку.

Комментарии

Пока нет комментариев

Войдите, чтобы участвовать в разговоре.

Будьте первым, кто оставит мысль.