
MCP упростил жизнь разработчикам: теперь у AI-агентов есть единый способ подключаться к инструментам и сервисам.
Но у этой стандартизации есть обратная сторона — каждый MCP-сервер становится новой точкой доверия и потенциальной атакующей поверхностью.
В статье разбираю:
-почему у LLM нет чёткой границы между данными и инструкциями -как tool poisoning, indirect prompt injection и sampling abuse работают на уровне MCP -почему даже “безобидные” документы и описания инструментов могут приводить к выполнению команд -какие реальные атаки уже зафиксированы в экосистеме MCP
как индустрия пытается закрыть это через gateways, sandboxing и OAuth-архитектуры
Также показываю практическую проверку на уязвимом MCP-стенде и результаты детекции вызовов инструментов на своем сканере BarkingDog.