Все заметки
Сантехника вашего агента нараспашку

13 июня 2026 г.

Сантехника вашего агента нараспашку

Первое крупномасштабное сканирование удалённых MCP-серверов — коннекторов, через которые ИИ-агенты дотягиваются до ваших инструментов и данных, — нашло, что около 40% выставляют свои инструменты вообще без аутентификации. Censys насчитал 12 520 доступных из интернета MCP-сервисов, большинство без защиты. Отдельный обход 40 000 репозиториев серверов дал 67 новых CVE. Агентный бум выкатил новый слой сантехники в прод быстрее, чем кто-либо его защитил, и прямо сейчас многое из неё открыто. Вот риск простыми словами и что проверить сегодня.

Вот фраза, от которой любой, кто гоняет ИИ-агентов, должен напрячься. Первое крупномасштабное измерение аутентификации на удалённых MCP-серверах — коннекторах, через которые агенты дотягиваются до ваших инструментов, файлов, баз, — нашло, что около 40% выставляют свои инструменты вообще без аутентификации. Censys насчитал 12 520 доступных из интернета MCP-сервисов, и большинство были без защиты. Без пароля. Без ключа. Кто нашёл адрес — тот пользуется инструментами.

Это не теоретический риск. MCP — Model Context Protocol — это сантехника, на которой работает весь агентный бум: так агент получает разрешение читать ваш репозиторий, делать запрос в базу, слать почту, бить в API. Индустрия завела эту сантехнику в прод исключительно быстро, а безопасность очевидно не поспела. Отдельный обход 40 000 репозиториев MCP-серверов дал 67 новых CVE, а АНБ сочло нужным выпустить собственное руководство по запиранию MCP. Когда АНБ пишет памятку про вашу сантехнику — сантехника течёт.

Давайте разложу, почему это опасно и что реально делать, потому что лекарство в основном скучное и в основном пропущенное.

Что на деле значит открытый MCP-сервер

MCP-сервер — это не документ. Это набор действий, выставленных любому подключившемуся агенту: «прочитай эту директорию», «выполни этот запрос», «отправь это сообщение», «вызови этот платный API». В этом весь смысл — дать агенту настоящие руки.

Так что «без аутентификации» не значит, что кто-то прочтёт конфиг. Это значит, что руки доступны любому, кто нашёл дверь. Незащищённый MCP-сервер в публичном интернете — это набор возможностей (ваших возможностей), вручённый миру. Смотря что он оборачивает, это утечка данных, удалённая база, выкачанный бюджет API или плацдарм, чтобы пойти глубже. А исследователи нашли рантайм, который доверяет управляемому клиентом флагу владения, позволяя постороннему просто объявить себя владельцем и захватить шлюз. Замки, что есть, — не все настоящие замки.

Почему так вышло и почему это на вас

Это не потому, что MCP как-то особо плох. Это древнейший паттерн в технологиях: мощная новая возможность расходится быстрее, чем нормы безопасности вокруг неё. Поднять MCP-сервер легко, туториалы оптимизируют под «оно работает», а аутентификация — это шаг, который добавляют потом, только «потом» часто значит «никогда». Умножьте на каждого разработчика, спешащего дать агенту больше инструментов, и получите 12 520 открытых дверей.

Это связано с тем, на что я постоянно показываю: ваш агент доверяет инструменту, а память и коннекторы — новая поверхность атаки. Мы десять лет учились защищать свои API и парадные двери. MCP — это новая дверь, прорезанная в том же доме, и многие команды вообще не подумали о ней как о двери.

Что проверить сегодня

Защита тут не экзотична. Это база, применённая к слою, к которому её забыли применить:

  • Аутентифицируйте каждый MCP-сервер. Без исключений. Если сервер выставляет инструменты, перед ним нужен ключ или токен. Внутреннему серверу тоже нужна аутентификация — «он в нашей сети» перестало быть границей безопасности годы назад.
  • Не кладите его в публичный интернет без нужды. Большинству MCP-серверов нечего делать доступными из интернета. Привяжите к localhost или приватной сети — и вы убрали себя из тех 12 520.
  • Урежьте инструменты до минимума. Агенту, которому нужно только читать, не надо вручать запись и удаление. Наименьшие привилегии на уровне инструмента ограничивают радиус взрыва, когда что-то всё же прорвётся.
  • Не доверяйте заявлениям о владении. После находки с управляемым клиентом флагом не предполагайте, что собственные проверки доступа сервера надёжны. Проверяйте личность снаружи того, что пытаетесь защитить.
  • Инвентаризуйте, что выставили. Многие из этих открытых серверов забыты — подняли под демо, не выключили. Нельзя защитить дверь, о прорезании которой не помнишь.

Суть

Эпоха агентов добавила в ваш стек мощный новый слой — коннекторы, что вручают софту настоящие руки, — и выкатила его быстрее, чем кто-либо защитил. 40% без аутентификации — это не проблема изощрённого атакующего; это проблема оставленной открытой двери, и атакующему надо просто войти. Хорошая новость: лекарство негламурно и хорошо понятно: аутентифицируйте, не выставляйте наружу, урежьте права и знайте, что у вас запущено.

Так что прежде чем дать следующему агенту ещё один инструмент, сходите посмотрите на сантехнику, что уже проложили. Захватывающая часть агентов — что они умеют; часть, что решает, пожалеете ли вы, — кто ещё может заставить их это сделать. Прямо сейчас для многих команд ответ — кто угодно, а это починка на один вечер, которую вам очень не стоит откладывать.

Комментарии

Пока нет комментариев

Войдите, чтобы участвовать в разговоре.

Будьте первым, кто оставит мысль.