Создать сервер MCP легко, но заставить его работать гораздо сложнее

Сложность заключается не в создании сервера MCP (Model Context Protocol) как такового, а в том, чтобы заставить его работать. Опрошенные порталом InformationWeek эксперты перечисляют препятствия, с которыми вы, вероятно, столкнетесь, и что делать в таких случаях.

Часть привлекательности сервера MCP заключается в том, что его очень легко создать. Обеспечить успешное использование MCP — открытого стандарта для подключения ИИ-помощников к источникам данных и внешним инструментам — требует гораздо больше усилий.

«Подключение — это легко, — говорит Ананд Чандрасекаран, главный инженер Arya Health, поставщика ИИ-агентов. — Выживание в производстве — это сложно».

По его словам, хотя MCP позволяет невероятно быстро подключить большую языковую модель (LLM) к базе данных, скорость — это не победа, а на самом деле риск. «Скорость внедрения обычно коррелирует со скоростью эксплуатации», — поясняет он. Другими словами, это легко сделать, но рискованно использовать.

Где выгода для CIO и как они могут ее получить?

Мохит Шривастава, главный разработчик Salesforce, объясняет, что, хотя MCP обещает значительные преимущества для предприятий, реализовать его полный потенциал не так просто.

«Агентный ИИ доказал свою ценность для быстрой проверки концепции и генерации идей с нуля, — говорит он. — Однако перенос этих мощных рабочих процессов с изолированной рабочей станции в реальную производственную среду сопряжен с множеством проблем».

Надежда на серверы MCP заключалась в обеспечении повышенной безопасности, управления и инфраструктуры для эффективной работы агентов ИИ. Реальность немного не соответствует этим ожиданиям, отмечает Шривастава, поскольку MCP еще не готов для использования предприятиями. Однако ведется работа по преодолению его недостатков.

«Настоящая мощь удаленного MCP реализуется через централизованные „шлюзы агентов“, где эти серверы регистрируются и управляются. Эта модель обеспечивает необходимые защитные механизмы, которые требуются предприятиям», — говорит он.

Тем не менее, шлюзы агентов имеют свои собственные ограничения.

«Хотя шлюзы обеспечивают безопасность, управление растущей экосистемой из десятков или даже сотен зарегистрированных инструментов MCP создает новую проблему: оркестрацию, — отмечает Шривастава. — Наиболее масштабируемый подход заключается в добавлении еще одного уровня абстракции: организации цепочек инструментов в „темы“ на основе „задачи, которую надо выполнить“».

Платформы и экосистемы эволюционируют, чтобы помочь в этом. Хотя эти шаги помогают, все еще остаются проблемы, которые необходимо решить, и препятствия, которые необходимо преодолеть. Ниже приведены пять основных проблем, на которые следует обратить внимание при внедрении MCP, а также способы их решения.

1. Подключи и молись: устранение рисков безопасности при MCP-подключении

По словам Чандрасекарана, применительно к MCP функция «подключи и работай» превратилась в проблему «подключи и молись». «MCP — это просто стандартный разъем; он обеспечивает подключение, но не защищает от вирусов или перепадов напряжения», — говорит он.

Решение заключается в использовании шаблона токена On-Behalf-Of (OBO), который гарантирует, что агенты работают под строгим контролем идентичности, а не под общими учетными записями служб — что, по словам Чандрасекарана, является «огромным риском».

«Когда я обращаюсь к агенту, он должен взять мой токен SSO и обменять его на токен нижестоящего агента, который точно имитирует мою идентичность. Если я потеряю доступ к репозиторию в GitHub, токен OBO агента также должен мгновенно потерять доступ, — поясняет он. — Бот — это просто мое цифровое продолжение, а не отдельный суперпользователь».

2. Перегрузка инструментов: управление доступом LLM к внешним инструментам

Еще одной серьезной проблемой является перегрузка инструментов LLM, которая увеличивает «риск галлюцинаций и неправомерного использования», говорит Доминик Томичевич, генеральный директор Memgraph, разработчика открытой базы данных графов, предназначенной для стриминга в реальном времени.

«Когда LLM предоставляется доступ к нескольким внешним инструментам через протокол MCP, существует значительный риск, что она может выбрать не тот инструмент, неправильно использовать правильный или запутаться и выдать бессмысленные или нерелевантные результаты, будь то из-за классических галлюцинаций или неправильного использования инструмента», — поясняет он.

Томичевич рекомендует ограничить доступ к инструментам на двух уровнях.

«Чтобы смягчить эту проблему, CIO должны на уровне политики обеспечить доступ только к наиболее релевантным инструментам для каждой задачи, сводя к минимуму потенциальную путаницу; динамическое включение или отключение инструментов в зависимости от текущих требований задачи; и поощрение разбиения сложных задач на более мелкие подзадачи, каждая из которых сопровождается тщательно подобранным набором опций», — говорит он.

По его словам, на уровне реализации разработчики должны предоставлять подробную информацию о функциях каждого инструмента, его ограничениях и данных, к которым он может получить доступ, а также обеспечивать доступ с минимальными привилегиями и надежные меры защиты.

3. Мультиагентные пробки: проблемы масштабирования в MCP-средах

Ограничения масштабирования MCP также представляют собой огромное препятствие. Они существуют, «потому что протокол не рассчитан на координацию больших распределенных сетей агентов», — говорит Джеймс Уркхарт, технический директор и технологический евангелист amiwaza AI, поставщика продуктов для оркестрации и развертывания автономных ИИ-агентов.

MCP хорошо работает в небольших контролируемых средах, но «предполагает мгновенные взаимодействия агентов», говорит он, что является нереалистичным ожиданием, когда системы растут и «несколько агентов конкурируют за время процессора, память или пропускную способность».

Без встроенных функций очереди, планирования или структурированной передачи сообщений «агенты могут перегружать общие ресурсы, создавать непредсказуемое поведение и генерировать нестабильную производительность», — отмечает Уркхарт.

Решение: не отказывайтесь от MCP — укрепите как протокол, так и инфраструктуру оркестрации вокруг него.

«Предприятия должны добавить явные механизмы планирования, приоритизации и очередей, чтобы агенты не конкурировали за ресурсы в хаотичном порядке, — говорит Уркхарт. — Они также должны внедрить общие модели метаданных, схемы и API-интерфейсы координации, которые обеспечивают предсказуемые шаблоны взаимодействия между системами».

4. Производственные пробелы: преодоление разрыва между тестовыми и рабочими системами

По словам Нухи Хашем, соучредителя и технического директора Cozmo AI и основателя Y Combinator, возможно, самой большой проблемой MCP является разрыв между рабочим сервером и рабочей системой. Она объясняет, что надежность зависит от того, как формируется каждый запрос и как правила доступа ведут себя в условиях реального трафика.

«ИИ-агенту нужен узкий промпт и четко определенный масштаб, иначе он начинает гадать о намерениях. Именно эти догадки приводят к проблемам у команд, работающих в регулируемых отраслях, потому что результат не учитывает контекст политики, необходимый для безопасного шага. Сервер может ответить, но решение может не выдержать проверки», — говорит Хашем.

По крайней мере, эта проблема распознаваема. «Когда MCP-системы сбиваются с курса, схема почти всегда одинакова», — отмечает она. Агент неизбежно собирает больше данных, чем требуется для выполнения задачи, и ответ теряет фокус. «Проверка занимает больше времени, и людям сложнее понять, почему система пошла в определенном направлении», — говорит она.

Хашем советует сузить круг задач агента. «Команды могут сделать это, ограничивая агента небольшим объемом данных и запрашивая краткий ответ. Это дает компании более четкое представление о том, что было запрошено и что было получено в ответ, что позволяет контролировать работу», — говорит она.

5. Безопасность — в каком смысле? Усиление управления и комплаенса

Предоставление внутренних данных агентам через MCP — это рискованное занятие.

«MCP по своей сути не понимает границ разрешений, происхождения, ограничений комплаенса или требований минимизации данных», — отмечает Ник Кейл, главный инженер и архитектор продуктов Cisco Systems. Действительно, как только агент получает доступ к вашим внутренним системам, невозможно предсказать, что он там будет делать.

«Вы должны беспокоиться о том, извлекает ли он правильные данные, правильный объем данных и делает ли он это в соответствии с нормативными требованиями или ожиданиями аудита», — говорит Кейл.

Короче говоря, MCP является многообещающим, но предприятия должны признать, что он еще не является абстракцией, готовой для корпоративного использования, поясняет он. «MCP становится эффективным только в окружении уровней управления, безопасности и отказоустойчивости, которые он сам по себе не обеспечивает», — отмечает он.

Вторя другим экспертам, упомянутым в этой статье, Кале также подчеркивает, что создание MCP — это легкая часть задачи: «Сложная часть — это создание защитных механизмов, которые заставляют ИИ-агентов вести себя предсказуемо и безопасно в масштабе».

Хотя специалисты по безопасности усердно работают над обеспечением безопасности серверов MCP, эта задача далека от завершения. К сожалению, простых и готовых решений этой проблемы не существует.

Действуйте с осторожностью

MCP предлагает огромный потенциал для подключения агентов ИИ к инструментам и данным, но его скорость и простота сопряжены со значительными рисками.

Хенрик Плейт, исследователь в области безопасности Endor Labs, объясняет, что разработчики часто полагаются на конфиденциальные API, которые требуют строгого контроля для предотвращения уязвимостей безопасности MCP. Рост числа CVE — публично раскрытых уязвимостей безопасности — и появление вредоносных серверов MCP подчеркивают необходимость осторожности, говорит он, отмечая, что «внедрение этой технологии не должно быть поспешным, а должно следовать общим лучшим практикам безопасности, особенно в корпоративном контексте».