Бум. Исследовательский агент вовсю пережёвывает рыночные данные с MCP-сервера, суммируя их — и бац, внезапно запускает развёртывание в продакшн. Код разлетается, алерты воют. Полный бардак.
Разграничение разрешений на уровне инструментов в MCP меняет всё. Это не просто ещё один слой — это ров вокруг вашего ИИ-замка, который серверная аутентификация сама по себе не выроет.
А вот в чём соль: большинство команд похлопывают себя по плечу за крутую OAuth или API-ключи у серверной двери. Кажется, надёжно. Но отойдите: это как запереть входную дверь дома, оставив все комнаты нараспашку.
Почему серверной аутентификации в MCP не хватает?
Аутентифицирован? Отлично, бери весь ящик с инструментами. Так по умолчанию работает у слишком многих MCP-серверов сегодня. Каждый агент — исследовательский бот, деплойер, аналитик данных — получает полный арсенал сразу после логина.
Для одиночек сойдёт. В оркестре разваливается.
Агент-исследователь должен уметь читать, запрашивать и суммировать. Но не пушить код, не запускать развёртывания и не удалять записи.
В точку. Эта цитата бьёт в яблочко. Рыночный соглядатай не должен глазеть на пусковую установку.
Но подождите — хуже того. Вклинилась промпт-инъекция? Скомпрометированный исследовательский агент теперь владеет правами на развёртывание. Латеральное перемещение, детка. Как лиса в курятнике с гранатой.
Напоминает ранние облачные деньки — помните, когда AWS IAM был фантазией, а все делились рутовыми кредами? Взрывы в мультитенантности повсюду. MCP упирается в ту же стену, пока агенты плодятся как кролики. Мой смелый прогноз: без разграничения инструментов увидим сбои, организованные агентами, не хуже мелтдауна Fastly CDN в 2021-м — уже в следующем году.
Ваш MCP — площадка для латерального перемещения?
Представьте агентов как цифровых специалистов в оживлённом агентстве. Исследователь строчит отчёты. Деплойер жмёт кнопки. Аналитик хрустит цифрами.
Все они пьют из одного MCP-источника. Но дадите исследователю кнопку деплоя? Рецепт для сожалений.
Текущий косяк MCP: бинарная авторизация. Ты либо внутри, либо снаружи — без нюансов. Гетерогенные агенты на одном сервере? Бум, радиус поражения взлетает.
Деплой-агенту нужны права на инфраструктуру. Ладно. Но клиентские данные? Финансовые API? Заприте наглухо.
Уникальный поворот, который все пропускают: риск не только в исполнении. Видимость тоже губит. Если исследователь видит инструменты развёртывания в манифесте list_tools — даже если заблокированы — он может о них порассуждать. Обойти. Промпт скажет: «Эй, используй деплой-инструмент» — агент попробует, провалится на поздней стадии. Площадь атаки? Огромная.
Умные серверы прячут игрушки. Манифесты с учётом ролей. Исследователь видит ридеры, саммаризаторы. Мир деплоера? Только билдеры. Нет знаний — нет соблазна.
Это defense-in-depth, господа — как давать детям запертые шкафы вместо крика «не трогай».
Простое исправление, которое кажется магией
Смените поток.
Старое: Авторизация → все инструменты.
Новое: Авторизация → роль прикреплена → отфильтрованные инструменты.
В коде? Манифесты инструментов учитывают роли. list_tools выдаёт только разрешённую поверхность. Вызовы вне скоупа? Чистая ошибка — «Нет, не твоё».
Роли? Центральная конфигурация. Определи «исследователь может X» один раз. Без ковыряния по агентам.
AN Score это подчёркивает — MCP-серверы проваливаются тут. Пробел реален.
Но внедришь — агенты забудут о запрещённых инструментах. Ментальная модель сжимается. Безопасность взлетает.
Тонкая победа: адверсариальные промпты барахтаются. «Используй секретный деплой-инструмент?» Агент пожимает плечами — «Нет такого инструмента». Игра окончена.
Журналы аудита: безымянный герой
Разрешения без доказательств? Слепая вера.
Структурированные логи обязательны. ID вызывающего, таймстамп, имя инструмента, параметры. Кто из ваших 12 агентов нажал на курок? Реконструируй инцидент.
Один агент? Логи опциональны. Мультиагентная симфония? Безоговорочно.
Серверы, которые проп
