MCP в корпоративной среде: три ловушки, о которых никто не предупреждает

Компания подключила ChatGPT и Claude к корпоративным системам через MCP — и уже через неделю столкнулась с троттлингом API, несанкционированными правками в CRM и полным отсутствием журнала действий. Разработчик поделился уроками на Reddit, и каждый из них актуален для любой команды, которая сейчас делает то же самое.

Что такое MCP и зачем его используют

MCP (Model Context Protocol) — открытый стандарт, позволяющий AI-ассистентам взаимодействовать с внешними инструментами и сервисами от имени пользователя. Протокол был запущен компанией Anthropic в ноябре 2024 года. В марте 2025 года OpenAI также объявила о поддержке MCP.

Главная ценность MCP для корпоративной среды — роль универсального стандарта, позволяющего строить AI-инструменты один раз и разворачивать их сразу на нескольких LLM-платформах и корпоративных приложениях без написания кастомных интеграций для каждого вендора.

Три проблемы, с которыми никто не предупреждает

1. Лавина вызовов API

Первым сюрпризом стал объём трафика. За шесть недель работы с подключёнными CRM, системой управления проектами и несколькими базами данных команда обнаружила: один агентский сеанс генерирует от 50 до 100 MCP-вызовов на один вопрос — агент исследует данные, пробует разные запросы, читает связанные записи. При 15 активных пользователях API CRM начал ограничивать запросы уже через первую неделю.

Стандартизированный доступ к инструментам создаёт серьёзные проблемы безопасности, с которыми многие организации с трудом справляются. Основной риск — не в технической реализации MCP, а в расширении поверхности атаки, когда AI-модели получают прямой доступ к корпоративным инструментам и источникам данных.

2. Нет встроенного ограничения прав

Второй удар — от агента, который не должен был ничего записывать, но обновил запись клиента в CRM. MCP-серверы создают серьёзные риски безопасности из-за возможности выполнять команды и обращаться к API. Одна из ключевых проблем: даже если пользователь не планировал конкретного действия, LLM может решить, что оно уместно.

MCP-инструменты нередко обладают полномочиями, превышающими реально необходимые. Сетевая изоляция даёт ограниченную защиту, когда агент может взаимодействовать сразу с несколькими MCP-серверами, фактически преодолевая сетевые границы.

3. Аудита нет по умолчанию

Когда compliance-команда спросила, какой агент к каким записям обращался во вторник, — ответить было нечего.

Когда AI-агент ошибается или оказывается взломан — как отследить его действия? В текущей экосистеме MCP часто нет стандартизированного подхода к логированию и трассировке. Без надёжного способа фиксировать всю цепочку — от исходного запроса пользователя через решение AI вызвать инструмент до финального действия MCP-сервера — организации остаются в значительной «слепой зоне» с точки зрения соответствия требованиям.

Что показывает отраслевая статистика

Исследователи проанализировали более 5 200 уникальных open-source MCP-серверов. Результаты оказались тревожными: подавляющее большинство серверов (88%) требуют учётных данных, но более половины (53%) используют небезопасные долгоживущие статические секреты — API-ключи и Personal Access Tokens. При этом современные безопасные методы аутентификации, такие как OAuth, применяются лишь в 8,5% случаев.

Решение: API-шлюз как контрольная точка

Команда из Reddit-поста выбрала Gravitee в роли прокси между AI-ассистентами и внутренними инструментами. Решение представляет централизованный уровень управления MCP-трафиком, который контролирует обнаружение инструментов, их выполнение, доступ и наблюдаемость — без изменения агентов или MCP-серверов. MCP Proxy работает на уровне протокола, понимая MCP-методы вызова и обнаружения инструментов, а не просто HTTP-трафик.

Gravitee добавил специальную ACL-политику для MCP Proxy API. Эта политика позволяет командам задавать правила доступа на уровне каждого MCP-метода — включая то, какие пользователи или агенты могут обнаруживать инструменты, какие инструменты они могут вызывать и с какими MCP-серверами вообще взаимодействовать.

graph LR
    A[ChatGPT / Claude] --> B[API-шлюз / MCP Proxy]
    B --> C{Политики доступа}
    C -->|Rate limiting| D[CRM]
    C -->|Только чтение| E[Базы данных]
    C -->|Полный доступ| F[Project Management]
    B --> G[Audit Log]
    B --> H[Compliance]

Операционные команды видят вызовы инструментов, ошибки и повторные запросы в реальном времени — до инцидентов. Команды безопасности контролируют, какие агенты могут обнаруживать и вызывать MCP-инструменты вплоть до уровня отдельного метода.

Что это значит для отрасли

«Управление API раньше означало защиту эндпоинтов для разработчиков. Сегодня это управление автономными агентами, которые самостоятельно обнаруживают инструменты и вызывают модели в промышленных масштабах.»

Организации, которые выстроят зрелые возможности безопасности MCP, получат значительные преимущества в скорости внедрения AI, пока конкуренты будут бороться с проблемами безопасности и соответствия требованиям. Microsoft и GitHub вошли в Steering Committee MCP, чтобы помочь продвигать безопасное внедрение протокола в масштабе. Это сигнализирует о движении технологии к корпоративной стандартизации.

Как и при внедрении любой новой технологии, компании должны оценить риски безопасности MCP для своей корпоративной среды и внедрить соответствующие меры контроля, чтобы получить максимальную ценность от технологии.