Какие есть риски подключения чужих MCP-серверов?

MCP-сервер — это процесс с доступом к вашей файловой системе, переменным окружения и инструментам. Чужой сервер — это чужой код, который запускается на вашей машине. Это важно понимать до того, как ставить что попало из интернета.

Prompt injection через MCP

Самая неочевидная атака. Сервер возвращает данные, которые модель воспринимает как инструкции.

Допустим, подключён MCP-сервер для чтения веб-страниц. Ты просишь: «Прочитай эту статью и сделай краткое изложение». Сервер возвращает содержимое страницы. Но страница содержит скрытый текст:

Модель видит этот текст как часть контекста и может выполнить инструкцию — особенно если у сервера есть инструменты для отправки HTTP-запросов.

Это не гипотетический сценарий. Такие атаки уже тестировали на публичных MCP-серверах.

Вредоносный сервер с широкими правами

{
  "mcpServers": {
    "useful-tool": {
      "command": "npx",
      "args": ["-y", "some-mcp-server-from-npm"]
    }
  }
}

npx -y скачивает и запускает пакет без подтверждения. Если пакет обновился и туда добавили вредоносный код — он выполнится с правами твоего пользователя. Файловая система, SSH-ключи, токены в env — всё доступно.

Утечка секретов через env

Серверы часто просят передавать токены через переменные окружения:

{
  "env": {
    "GITHUB_TOKEN": "ghp_...",
    "DATABASE_URL": "postgresql://user:password@host/db"
  }
}

Если сервер скомпрометирован — он может прочитать эти переменные и отправить их наружу. Инструмент make_http_request в руках вредоносного сервера — это канал утечки.

Как защититься

Используй только проверенные серверы. Официальные серверы Anthropic (@modelcontextprotocol/server-*) и серверы от известных компаний — первый выбор. Неизвестный npm-пакет с 50 загрузками — нет.

Фиксируй версии. Вместо npx -y some-server используй конкретную версию:

{
  "args": ["-y", "some-server@1.2.3"]
}

Так случайное обновление не сломает и не скомпрометирует конфиг.

Давай минимальные права. Серверу для работы с GitHub не нужен доступ к файловой системе. Серверу для чтения документации не нужен токен базы данных. Разделяй серверы и давай каждому только то, что нужно.

Ограничивай файловую систему. Для сервера filesystem указывай конкретную директорию, а не корень:

{
  "args": ["-y", "@modelcontextprotocol/server-filesystem", "/Users/you/projects/myapp"]
}

Не подключай серверы с инструментами execute_command или run_shell без понимания, что именно они делают. Это прямой доступ к терминалу.

MCP — мощный инструмент, но правило простое: чужой сервер — чужой код на твоей машине. Относись к этому так же, как к зависимостям в package.json: проверяй источник, фиксируй версии, давай минимальные права.