Powrót do bloga
MCPBezpieczeństwo agentówOtwarte standardyAzja Południowo-Wschodnia

MCP w 2026: uniwersalny standard — i jego problem z bezpieczeństwem

26 maja 2026 autor: Inference Loops

Rok temu podłączenie agenta AI do realnego narzędzia — bazy danych, systemu ticketów, API płatności — oznaczało dedykowaną integrację na każde narzędzie na każdego agenta. Dziś istnieje na to standardowa wtyczka, i ta wtyczka praktycznie wygrała. Model Context Protocol (MCP) jest teraz uniwersalnym sposobem, w jaki agenty rozmawiają z narzędziami, a liczby adopcji są tego rodzaju, jaki zwykle widuje się dopiero z perspektywy czasu. Ale wszechobecność ma cień: gdy wszyscy standaryzują się na tym samym gnieździe, wada gniazda jest wadą wszędzie. Ten wpis jest o obu połowach — o zwycięstwie i o problemie z bezpieczeństwem, który to zwycięstwo stworzyło.

Argumentowaliśmy, że otwarte standardy jak MCP to właśnie to, co daje regionowi miejsce przy stole. To wciąż prawda. Ale dojrzewanie MCP w 2026 roku dodaje ostrą drugą lekcję: standardowa wtyczka jest ustalona; bezpieczeństwo tego, co podłączasz stoi szeroko otworem — a ta luka to miejsce, gdzie żyje teraz dużo trwałej pracy.

Wojna o integracje się skończyła

Skala jest naprawdę uderzająca. Pod koniec maja 2026 oficjalny rejestr MCP wymieniał około 9652 serwerów (28 959, licząc wszystkie wersje); grudniowa aktualizacja ekosystemu Anthropic z 2025 roku przytaczała już ponad 10 000 aktywnych publicznych serwerów. GitHub pokazuje mniej więcej 15 926 repozytoriów oznaczonych mcp-server, a kanoniczne repo modelcontextprotocol/servers przekroczyło 86 000 gwiazdek. SDK ściągają ponad 97 mln pobrań miesięcznie w Pythonie i TypeScripcie. To już nie eksperyment — ankieta Stacklok z 2026 roku wykazała, że 41% organizacji programistycznych uruchamia MCP w ograniczonej lub szerokiej produkcji.

Dlaczego wygrał? Z tego samego powodu, z którego wygrywa każdy dobry standard: zamienił problem N×M w N+M. Przed MCP każdy agent potrzebował własnego konektora do każdego narzędzia. Po nim narzędzie wystawia jeden serwer MCP i każdy agent może go używać. To wystandaryzowana hydraulika harness — warstwa wykonywania narzędzi, którą kiedyś klepało się ręcznie, jest teraz protokołem. Standardowe wtyczki, maszyny szyte na miarę.

Strona cienia: standardowe gniazdo to standardowy cel

Oto niewygodny wniosek. W chwili, gdy tysiące serwerów mówią jednym protokołem, a tysiące agentów domyślnie im ufa, bezpieczeństwo tego ekosystemu staje się nośne — a wczesne dowody dają do myślenia.

Akademickie badanie z 2026 roku (przyjęte na DSN 2026) przeprowadziło największy dotąd audyt: 67 057 serwerów MCP w sześciu rejestrach. Wykryło 833 podatne serwery w samych zdecentralizowanych rejestrach, a tryby awarii to dokładnie te, na które zaprasza ekosystem oparty na domyślnym zaufaniu:

  • Tool poisoning — złośliwy opis narzędzia manipuluje rozumowaniem modelu, by go nadużyło. Wskaźniki skuteczności wahały się od 0% do 100% w zależności od pary host/model; to prompt injection w przebraniu narzędzia.
  • Tool shadowing i pomieszanie — gdy dwa serwery wystawiają narzędzia o identycznych nazwach, agent może po cichu wywołać niewłaściwe; metadane kontrolowane przez atakującego mogą wykrzywić zachowanie nieszkodliwego narzędzia z innego serwera.
  • Słabości łańcucha dostaw — badanie wykryło wyciekłe tokeny GitHub w działających konfiguracjach, 212 możliwych do ponownej rejestracji kont opiekunów (ścieżka przejęcia serwera) oraz setki grup pakietów squattujących przyrostki o myląco podobnych nazwach.

To nie jest teoretyczne. W marcu 2026 Microsoft załatał CVE-2026-26118, server-side request forgery w Azure MCP Server Tools z oceną 8,8 — atakujący mógł sprawić, by serwer ujawnił swój token tożsamości zarządzanej. I nie chodzi tylko o serwery: badanie ToxicSkills firmy Snyk wykazało, że mniej więcej 36% umiejętności agentów AI na popularnych platformach niosło wady bezpieczeństwa, w tym żywe złośliwe ładunki zbudowane do kradzieży poświadczeń i tylnych furtek. Wtyczka jest uniwersalna; tak samo jest z promieniem rażenia, gdy jedną z nich się zatruje.

Standard dojrzewa — ale nie jest gotowy

Trzeba przyznać, że projekt MCP to dostrzega. Oficjalna mapa drogowa na 2026 rok jest zorganizowana wokół obszarów priorytetowych, a nie dat, a dwa z czterech dotyczą wprost tej kwestii: Dojrzewanie zarządzania (drabina kontrybutorów i Grupy Robocze recenzujące domenowe propozycje ulepszeń specyfikacji) oraz Gotowość dla przedsiębiorstw (ślady audytowe, uwierzytelnianie, zachowanie bramek, przenośność konfiguracji). Konkretnie na froncie bezpieczeństwa, propozycje takie jak SEP-1932 (DPoP) i SEP-1933 (Workload Identity Federation) są w recenzji „na horyzoncie”.

Czytane uczciwie, to standard nadganiający własny sukces. Gotowość dla przedsiębiorstw jest opisana jako priorytet najsłabiej zdefiniowany, z wyraźnym zaproszeniem do wkładu od społeczności. Protokół, który wygrał wygodą dla programistów, robi teraz wolniejszą, mniej efektowną pracę stawania się bezpiecznym do wdrożenia w banku. Co jest dokładnie tym, o czym mówimy w odniesieniu do całego stosu: guardrails to miejsce, dokąd przesuwają się wydatki i trudność, a MCP jest tego żywym dowodem.

Co to znaczy, jeśli budujesz

Praktyczny wniosek to nie „unikaj MCP” — ten statek już odpłynął, a sam odciąłbyś się od ekosystemu. To „nie ufaj serwerowi MCP tylko dlatego, że mówi protokołem”. Konkretnie:

  • Sprawdź, zanim podłączysz. Traktuj cudzy serwer MCP jak każdą inną zależność: zrecenzuj go, przypnij wersję, przeskanuj. Narzędzia już istnieją — badacze z DSN wydali MCPInspect do analizy przed integracją, a Snyk dostarcza skaner agentów/MCP, który szuka prompt injection, tool poisoning i złośliwego kodu.
  • Wybieraj self-hosted dla wszystkiego wrażliwego. Jeśli agent może dotknąć pieniędzy lub prywatnych danych, serwer MCP na tej ścieżce powinien być takim, który kontrolujesz, a nie takim, który znalazłeś w rejestrze.
  • Otocz wywołania narzędzi granicą twórca/sprawdzający. Ta sama dyscyplina weryfikacji, która rządzi pętlą, powinna bramkować to, co narzędziu wolno zrobić, niezależnie od tego, jak godny zaufania wygląda jego opis.

Otwarcie dla Azji Południowo-Wschodniej

To, po cichu, szansa skrojona dla regionu. Wartościowa praca tutaj to nie trenowanie modelu — to warstwa bezpieczeństwa-i-zaufania wokół już standardowego protokołu: sprawdzanie serwerów, hartowanie wdrożeń i budowanie lokalnie zaufanych serwerów MCP dla systemów, których generyczny zagraniczny konektor nigdy nie zrozumie. Rdzeniowy system kambodżańskiego banku, rządowy rejestr w języku khmerskim, regionalna sieć logistyczna — każdy potrzebuje serwerów MCP, które są zarazem poprawne i godne zaufania dla tego dokładnego kontekstu, zbudowanych i zaudytowanych przez ludzi rozumiejących domenę i lokalną rzeczywistość zgodności.

To biznes guardrails zastosowany do warstwy integracji, a to inżynieria, nie kapitał. Protokół jest darmowy i uniwersalny — Anthropic rozdało wtyczkę. Zaufanie wokół niej, dostrojone do lokalnych systemów i lokalnych reguł, to część, którą trzeba zbudować blisko problemu. Tę część da się zbudować z Phnom Penh równie dobrze jak skądkolwiek, a niedokończona historia bezpieczeństwa samego standardu mówi, że popyt tylko rośnie.

MCP rozwiązał, jak agenty się łączą. Nie rozwiązał, czy powinieneś ufać temu, z czym się łączą. Pierwszy problem stworzył standard. Drugi jest biznesem.