Microsoft открывает Windows для внешних ИИ через новый протокол. И да, это потенциальный кошмар безопасности

Microsoft представила амбициозные планы по интеграции протокола Model Context Protocol (MCP) непосредственно в операционную систему Windows. Об этом компания объявила на конференции разработчиков Build в Сиэтле, несмотря на серьёзные опасения относительно безопасности быстро развивающейся экосистемы MCP.

MCP — это относительно новый протокол, представленный компанией Anthropic всего полгода назад. Изначально он задумывался как способ для ИИ-приложений получать доступ к данным в различных системах, но вскоре превратился в более универсальный инструмент для автоматизации . Протокол основан на JSON-RPC 2.0 и позволяет MCP-серверам сообщать о своих возможностях и принимать команды для их выполнения.

В контексте Windows ценность стандартизированного способа автоматизации как встроенных, так и сторонних приложений очевидна. Один простой запрос может запустить целую цепочку действий: получить данные, создать Excel-таблицу с подходящей диаграммой и отправить её коллегам по электронной почте.

Microsoft готовит почву для этого, анонсируя новые функции Windows. Во-первых, появится локальный реестр MCP, который позволит находить установленные MCP-серверы. Во-вторых, встроенные MCP-серверы предоставят доступ к системным функциям, включая файловую систему, управление окнами и подсистему Linux для Windows. В-третьих, новый тип API под названием App Actions даст сторонним приложениям возможность предоставлять действия, специфичные для каждого приложения, которые также будут доступны как MCP-серверы.

По словам Microsoft, разработчики смогут использовать действия, созданные другими релевантными приложениями, что обеспечит автоматизацию между приложениями и их использование ИИ-агентами. Среди компаний, интегрирующих функциональность MCP в свои приложения для Windows, Microsoft назвала Anthropic, Figma и Perplexity. Для App Actions к проекту присоединились разработчики Zoom, Todoist и Spark Mail.

Однако MCP-серверы, несмотря на свою мощность, уязвимы для злоупотреблений. Корпоративный вице-президент Microsoft Дэвид Уэстон выделил семь векторов атак, включая межпромптовые инъекции, когда вредоносный контент переопределяет инструкции агента, пробелы в аутентификации из-за незрелых стандартов, утечки учётных данных, отравление инструментов через непроверенные MCP-серверы, отсутствие изоляции, ограниченный анализ безопасности и риски цепочки поставок.

Уэстон подчеркнул, что безопасность является главным приоритетом Microsoft при расширении возможностей MCP. Компания планирует внедрить несколько мер защиты: прокси для посредничества во всех взаимодействиях клиент-сервер MCP, базовый уровень безопасности для серверов, включаемых в реестр Windows, и изоляцию времени выполнения с детализированными разрешениями.

Microsoft обещает предоставить разработчикам ранний предварительный просмотр возможностей Windows MCP после конференции Build. Для использования потребуется включить режим разработчика в Windows, при этом не все функции безопасности будут доступны в предварительной версии.

Компания также присоединилась к официальному руководящему комитету MCP вместе с GitHub и сотрудничает с Anthropic и другими над обновлённой спецификацией авторизации и будущим публичным сервисом реестра для MCP-серверов.

На Build также был представлен новый проект NL Web (Natural Language Web), который позволяет веб-сайтам и приложениям предоставлять контент через запросы на естественном языке. Проект разработан Раманатаном Гухой, бывшим сотрудником Google, а теперь техническим научным сотрудником Microsoft, который известен созданием стандарта RDF. Каждый экземпляр NLWeb также является MCP-сервером.

MCP и App Actions в Windows можно рассматривать как новый способ автоматизации как самой Windows, так и других приложений. В некоторых аспектах это напоминает COM (модель компонентных объектов) и её производные, которые уже обеспечивают межприложенческую коммуникацию и автоматизацию в Windows, но через бинарный интерфейс, а не JSON-RPC. COM оказался мощным инструментом, но также источником проблем с безопасностью — достаточно вспомнить ActiveX в Internet Explorer и OLE Automation в Office.

Хотя обнадёживает то, что Microsoft поставила безопасность во главу угла своей MCP-стратегии, как разработчики, так и предприятия будут осторожны. Как отметил Уэстон, "MCP открывает мощные новые возможности, но также создаёт новые риски".