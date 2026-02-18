«Информзащита»: 40% MCP-серверов содержат критические уязвимости

Эксперты компании «Информзащита» выявили, что 40% проанализированных MCP-серверов за первые два месяца 2026 г. содержат критические уязвимости, способные привести к компрометации инфраструктуры, утечке API-ключей и выполнению произвольного кода. MCP-серверы – это узлы, реализующие Model Context Protocol, механизм, который позволяет большим языковым моделям (LLM) вызывать внешние инструменты, обращаться к корпоративным сервисам и обрабатывать данные за пределами базовой модели. Фактически речь идет о прослойке между моделью и прикладной средой. По сравнению с аналогичным периодом 2025 г. доля небезопасных конфигураций выросла на 12%. За тот же период число публично доступных MCP-узлов приблизилось к отметке 10 тыс., что почти вдвое превышает показатели начала 2025 г.

Массовое внедрение ИИ-инструментов в корпоративные процессы опережает формирование устойчивых практик их защиты. MCP часто разворачивается как вспомогательный компонент – через плагины IDE, контейнеры или open-source-сборки, – и проходит минимальный аудит. При этом сама логика протокола предполагает доверие к конфигурационным файлам и подключаемым инструментам. Любая ошибка в настройке или публикации узла мгновенно превращается в точку входа. В результате даже компании с развитым SOC фиксируют инциденты, источник которых лежит вне традиционного периметра.

Формально многие MCP-серверы используют актуальные версии библиотек и проходят базовое сканирование зависимостей. Однако анализ показывает, что 8% узлов содержат открытые API-ключи, 7% уязвимы к атакам типа Path Traversal (класс уязвимостей веб‑приложений, позволяющий злоумышленнику читать произвольные файлы за пределами корневой директории приложения и в отдельных случаях приводить к удалённому выполнению кода), 6% допускают Command или Code Injection, а 2% подвержены SQL-инъекциям. В абсолютных цифрах это сотни потенциально скомпрометированных серверов.

Глубинные причины лежат на стыке архитектуры LLM и организационных процессов. Современные модели по-прежнему не способны надежно различать инструкции разработчика и пользовательский ввод, если они проходят через один и тот же канал вызова инструмента. Это открывает возможности для манипуляций, при которых злоумышленник заставляет систему выполнять не предусмотренные сценарии. Дополняет картину дефицит специалистов, способных оценивать риски ИИ-интеграций. По оценке «Информзащиты», нехватка экспертов в области AI Security в 2026 г. достигла примерно 43%. Внешние факторы также играют роль: распространение вредоносных npm-пакетов, имитирующих легитимные интеграции, и активное обсуждение MCP как канала скрытого управления на подпольных форумах формируют устойчивый интерес со стороны атакующих.

Отраслевой разрез подтверждает, что проблема носит прикладной характер. Финансовый сектор формирует 24% всех выявленных уязвимых MCP-инсталляций. Банки и финтех активно используют LLM для автоматизации клиентских сервисов и скоринга, интегрируя модели с внутренними системами через MCP. Ритейл занимает 19%, где ИИ подключается к системам управления запасами и персонализированным предложениям. ИТ-компании и разработчики ПО составляют 17% – здесь распространены экспериментальные среды и быстрые релизы без полноценного security review. Телеком – 14%, промышленность – 11%, оставшиеся 15% приходятся на медицину, образование и госсектор. В последних сегментах последствия компрометации усугубляются чувствительностью данных.

«MCP становится удобной точкой для входа: трафик выглядит легитимно, команды маскируются под рабочие процессы, а обнаружение осложняется тем, что активность распределена между моделью и внешними сервисами. При сохранении текущих темпов внедрения ИИ мы ожидаем рост комплексных атак с использованием нескольких MCP-узлов одновременно», – сказал Анатолий Песковский, руководитель направления анализа защищенности IZ:SOC компании «Информзащита».

Компаниям необходимо проводить регулярный аудит MCP-серверов с моделированием инъекционных атак, выносить хранение ключей в защищенные хранилища, сегментировать инфраструктуру и ограничивать исходящие соединения с узлов MCP. Существенный эффект дает внедрение поведенческого анализа вызовов инструментов и корреляция событий MCP с данными SIEM и EDR. Не менее важно формировать внутри компаний компетенции AI Security и включать требования к безопасной конфигурации MCP в процессы разработки и CI/CD.

По прогнозу «Информзащиты», при отсутствии дополнительных мер доля уязвимых MCP-серверов к концу 2026 г. может приблизиться к 45%, а средняя стоимость инцидента, связанного с их компрометацией, вырастет еще на 20%. MCP уже стал одним из наиболее привлекательных элементов ИИ-инфраструктуры для атакующих. В 2026 г. именно этот сегмент будет определять вектор развития защиты систем, использующих большие языковые модели, и степень готовности бизнеса к новой реальности угроз.