Перейти к содержимому
Цена founder — зафиксирована для ранних клиентовНачать →

Model Context Protocol: открытый стандарт для инструментов AI-агентов

Model Context Protocol (MCP) — это открытый стандарт, опубликованный Anthropic в ноябре 2024, позволяющий AI-агентам обнаруживать и вызывать внешние инструменты — БД, файловые системы, API, внутренние сервисы — без написания специального glue-кода. MCP-серверы выставляют возможности; MCP-клиенты (агентные runtime, IDE, ассистенты) их потребляют. Протокол намеренно минимален, что также является его production-подвохом: развёртывания должны накладывать аутентификацию, sandboxing и бюджеты на каждый инструмент сверху, прежде чем безопасно запускать.

Что такое Model Context Protocol?

Model Context Protocol — это открытый стандарт на базе JSON-RPC, изначально опубликованный Anthropic, определяющий, как AI-агенты (клиенты) обнаруживают и вызывают возможности, выставленные инструментами (серверами). Это эквивалент LSP для редакторов или USB для оборудования в AI-агентной экосистеме: один протокол, много реализаций.

Кратко

  • MCP — это USB-порт агентной экосистемы — один протокол, позволяющий любому совместимому агентному runtime использовать любой совместимый tool-сервер без написания кастомного glue-кода.
  • Anthropic опубликовал MCP в ноябре 2024; крупные адопторы за 2025 включают OpenAI, Microsoft Copilot, Cursor, Zed, Continue и большинство агентных фреймворков.
  • MCP определяет четыре типа примитивов: tools (function-style вызовы), resources (read-only данные), prompts (переиспользуемые шаблоны) и sampling (server-инициированные LLM-вызовы обратно клиенту).
  • Транспорт — JSON-RPC через stdio или HTTP/SSE. Stdio — доминирующая локальная форма; HTTP/SSE набирает популярность для удалённых MCP-серверов.
  • Production MCP требует трёх слоёв, которые большинство туториалов пропускают: аутентификация, sandboxing и принуждение бюджета на tool calls.

Как работает MCP

MCP-клиент (агентный runtime или AI-ассистент) подключается к одному или нескольким MCP-серверам. При подключении клиент запрашивает список возможностей — какие инструменты, ресурсы и промпты предлагает этот сервер? Каждый инструмент объявляет JSON-схему для своих аргументов. LLM агента видит список инструментов как часть своего контекста и соответственно выбирает tool calls. Клиент маршрутизирует вызовы к правильному серверу, упаковывает JSON и возвращает результаты.

Транспорт — JSON-RPC 2.0. Распространены два транспорта: stdio (клиент порождает сервер как подпроцесс и общается через stdin/stdout — по умолчанию в Claude Desktop) и HTTP с Server-Sent Events для удалённых серверов, живущих через сетевую границу.

Сам протокол намеренно минимален. Сложность в том, что выставляют MCP-серверы: filesystem-сервер даёт агенту read/write доступ к директории; Postgres-сервер даёт query-доступ; Slack-сервер даёт возможности отправки сообщений и чтения каналов. Тот же агент может одновременно подключаться к нескольким серверам.

MCP-серверы vs MCP-клиенты

MCP-серверы — сторона инструментов. Кто угодно может написать — Anthropic публикует reference SDK на Python и TypeScript. По состоянию на середину 2026 существуют тысячи community-серверов, покрывающих GitHub, Notion, Linear, Postgres, AWS, автоматизацию браузера и далее. Серверы обычно небольшие (несколько сотен строк), потому что протокол делает основную работу.

MCP-клиенты — агентные runtime, IDE и ассистенты. Claude Desktop был reference-клиентом. Cursor, Zed, Continue, Windsurf и большинство агентных фреймворков добавили поддержку MCP-клиента в 2025. Один MCP-клиент обычно поддерживает несколько одновременных подключений к серверам — один агент одновременно общается с filesystem-сервером, БД-сервером и Slack-сервером.

Ключевое наблюдение: LLM не говорит на MCP напрямую. Клиент рендерит MCP-список инструментов как определения функций внутри LLM-промпта; LLM эмитирует function call; клиент мапит вызов к правильному MCP-серверу и пересылает JSON-RPC запрос.

Соображения безопасности для production MCP

MCP — capability-exposure протокол, не протокол авторизации или аудита. Production-развёртывания должны добавить части, которые MCP намеренно оставляет:

  • Аутентификация: большинство MCP-серверов работают неаутентифицированно локально. Мульти-tenant развёртывание нуждается в учётных данных на агента и auth-границах на сервер.
  • Sandboxing: MCP filesystem-сервер с широким path-доступом функционально root на хосте. Запускайте MCP-серверы в контейнерах; не монтируйте чувствительные тома слепо.
  • Принуждение бюджета: tool calls не бесплатны. Агент, вызывающий MCP-сервер веб-скрапинга в цикле, может накрутить серьёзные расходы. Бюджеты на агента должны покрывать вызовы инструментов, а не только LLM-токены.
  • Аудит-логи: сам MCP не стандартизирует логирование вызовов. Production-runtime должны записывать каждый вызов сервера с аргументами, формой ответа и таймингом для ревью AI-безопасности агентов и реагирования на инциденты.

Reference-интеграция MCP в Claude Desktop монтирует серверы как host-подпроцессы с правами файловой системы host-пользователя. Это работает для single-user dev-сетапов; это не production-безопасно.

Как OpenLegion интегрирует MCP

OpenLegion — MCP-клиент по умолчанию. Агенты в runtime авто-обнаруживают MCP-серверы, сконфигурированные для своего флота, видят список инструментов в своём context window и вызывают MCP-инструменты через тот же vault-проксированный, ACL-gated путь, что и встроенные skills. Mesh применяет production-grade слои, которые MCP оставляет:

  • Каждый MCP-сервер работает в своём sandboxed пространстве имён; агент никогда не получает прямой stdio-доступ к процессу сервера.
  • ACL на агента gate, какие MCP-серверы данному агенту разрешено вызывать.
  • Каждый tool call считается против бюджета на агента; агент, превышающий cap, обрывается, шла ли трата от LLM или MCP-инструментов.
  • Mesh записывает каждый MCP-вызов в trace log — та же телеметрия, покрытая в наблюдаемости AI-агентов.

Результат: вы получаете ширину MCP-экосистемы, не наследуя её trust-предположения по умолчанию.

Позиция OpenLegion

MCP — самый важный стандарт агентной экосистемы со времён OpenAPI — он сворачивает то, что иначе было бы работой N × M интеграций (каждый агентный фреймворк умножить на каждый инструмент) в N + M серверов и клиентов. Но намеренная минимальность протокола означает, что production-команды должны перестроить скучную инфраструктуру — auth, sandboxing, бюджеты, аудит — которую проприетарные системы упаковали. Фреймворки, рассматривающие MCP как just-add-water без наложения этих забот, поставляют insecure-by-default агентов. Выбирайте AI-агентную платформу, которая воспринимает MCP достаточно серьёзно, чтобы его ограничивать.

Разворачивайте MCP-совместимых агентов со встроенными production-grade контролями.

НачатьДокументация

Часто задаваемые вопросы

Что такое Model Context Protocol?

Model Context Protocol (MCP) — открытый JSON-RPC стандарт, представленный Anthropic в ноябре 2024, позволяющий AI-агентам обнаруживать и вызывать внешние инструменты через единый интерфейс. MCP-серверы выставляют возможности (инструменты, ресурсы, промпты); MCP-клиенты (агентные runtime, IDE, ассистенты) их потребляют. Крупные адопторы в 2025 включают OpenAI, Microsoft Copilot, Cursor, Zed и большинство агентных фреймворков.

Кто создал MCP и открыт ли он?

Anthropic создал MCP и выпустил его под открытой спецификацией с reference SDK на Python и TypeScript. Спецификация community-governed через GitHub, нет лицензирования или проприетарного lock-in. Кто угодно может написать MCP-сервер или клиент, и крупные LLM-провайдеры поставляют MCP-совместимый тулинг.

В чём разница между MCP-сервером и MCP-клиентом?

MCP-сервер выставляет возможности — Postgres-сервер выставляет query-инструменты, filesystem-сервер выставляет чтение и запись файлов, Slack-сервер выставляет отправку сообщений. MCP-клиент — сторона потребителя — обычно агентный runtime, IDE или AI-ассистент. Клиент может подключаться ко многим серверам одновременно; сервер может быть переиспользован многими клиентами.

Безопасен ли MCP по умолчанию?

Нет — и это намеренно. MCP — capability-exposure протокол, не протокол авторизации. Reference-реализации (Claude Desktop, примеры SDK) запускают серверы неаутентифицированно как host-подпроцессы с правами файловой системы пользователя. Production-развёртывания должны добавить аутентификацию, sandboxing, бюджеты на инструмент и аудит-логирование поверх самого MCP.

Как MCP сравнивается с OpenAI function calling?

OpenAI function calling — single-vendor шаблон, позволяющий одной LLM вызывать функции, определённые в API-запросе — он не стандартизирует, как инструменты обнаруживаются, упаковываются или делятся между системами. MCP — cross-vendor открытый стандарт для той же проблемы на уровне экосистемы. Эти двое комплементарны: MCP-серверы выставляют возможности; MCP-клиент может рендерить их как OpenAI-format определения функций при вызове GPT-моделей или как Anthropic tool-use формат при вызове Claude.

Могу ли я использовать MCP с любым LLM-провайдером?

Да. MCP LLM-агностичен — клиент рендерит определения MCP-инструментов в любой формат, ожидаемый базовой LLM (Anthropic tool use, OpenAI function calling, Gemini function declarations). Runtime вроде OpenLegion, поддерживающие 100+ провайдеров через LiteLLM, автоматически адаптируют MCP-инструменты к calling-конвенции каждого провайдера.