Обновление, задуманное ради безопасности, само стало источником новых рисков.

ИИ-интеграции быстро выходят за пределы локальных экспериментов, и новая спецификация Model Context Protocol меняет саму логику защиты таких систем. Специалисты Akamai сообщили, что 28 июля 2026 года MCP должен перейти на корпоративную архитектуру без постоянных сессий, а вместе с ней часть ключевых решений по безопасности окончательно перейдёт к разработчикам серверов и платформ.
Речь идёт о крупнейшем изменении протокола с момента его появления. MCP начинался как инструмент для связи ИИ-приложений с локальными сервисами и данными, но теперь готовится к облачным внедрениям корпоративного масштаба. После выхода предварительной версии спецификации от 21 мая финальная версия должна выйти 28 июля, после чего в течение 12 месяцев будет официально прекращена поддержка некоторых устаревших функций.
Обновление убирает несколько прежних рисков на уровне самого протокола. В старых версиях долгоживущие сессии с идентификатором Mcp-Session-Id могли стать целью для перехвата, поскольку доступ к такому идентификатору позволял выдавать себя за пользователя. Новая архитектура отказывается от подобных сессий. Также серверы больше не смогут произвольно отправлять клиентам неожиданные запросы через Server-Sent Events, а аутентификация переходит на более строгие требования OAuth 2.1 с современными защитными механизмами.
При этом отказ от постоянного состояния создаёт новую проблему. В сложных корпоративных сценариях ИИ-задачи часто идут в несколько этапов, ждут уточнений, пауз или одобрения человека. Теперь сервер передаёт клиенту идентификаторы и объекты состояния, а клиент возвращает их при продолжении работы. Если разработчик применит предсказуемые идентификаторы или не проверит целостность данных, злоумышленник сможет подменить состояние, перехватить чужой процесс или запустить действие в другом клиентском окружении.
Ещё один риск связан с объектом _meta, через который клиент может добавлять произвольные служебные данные к сообщениям MCP. Если сервер начнёт доверять таким полям при маршрутизации или проверке прав, поддельные значения вроде признака администратора могут привести к повышению привилегий или доступу к чужим данным. Новые HTTP-заголовки MCP тоже требуют аккуратной обработки, поскольку расхождения между заголовками и телом запроса могут запутать прокси и серверы, а вынос чувствительных параметров в заголовки повышает риск утечек через журналы и промежуточную инфраструктуру.
Спецификация также закрепляет MCP Apps, интерактивные панели внутри ИИ-приложений. Такой интерфейс удобен для форм, панелей управления и просмотра документов, но переносит в ИИ-среду привычные веб-риски, включая сохранённый межсайтовый скриптинг. Даже при запуске кода в изолированном iframe вредоносная панель может показывать фальшивые запросы, собирать видимые в интерфейсе данные и отправлять сведения атакующему.
Долгие фоновые задачи добавляют риск отказа в обслуживании. Клиент может дешёво запустить ресурсоёмкий процесс и отключиться, а сервер продолжит тратить процессорное время, память или место в базе данных. Для снижения риска Akamai рекомендует считать все данные состояния и метаданные от клиента недоверенными, проверять их криптографически, кодировать вывод в визуальных панелях ИИ-приложений и вводить жёсткие квоты на асинхронные задачи.