Минулого місяця ваша команда підключила десяток MCP-серверів до AI-агентів. GitHub, Slack, Jira, може пару баз даних. MCP — Model Context Protocol — це як універсальний USB-порт для AI-інструментів: підключаєш сервер, і твій AI-агент створює тікети, надсилає повідомлення, смикає дані. Просто працює. Відчувається як магія.

Але чи хтось перевірив, хто підтримує ці сервери? Коли код оновлювали востаннє? Чи хоч одна жива людина робила аудит? Скоріш за все ні — бо MCP зробив підключення інструментів таким же простим, як встановлення розширення для браузера.

Хата горить

У перші два тижні квітня 2026 року магія перестала працювати.

11 квітня дослідники оприлюднили CVE-2026-5058 — вразливість command injection в AWS MCP-сервері з оцінкою CVSS 9.8. 3 квітня Azure DevOps MCP-сервер від Microsoft отримав CVE-2026-32211 — CVSS 9.1, нуль автентифікації на сервері, що обслуговує корпоративну інфраструктуру розробки. Дві компанії-трильйонники, два сервери, до яких ваші агенти напевно підключені, обидва — нараспашку. Деталі менш важливі за патерн: якщо AWS і Microsoft не можуть захистити власні MCP-сервери, які шанси у community-сервера від одного ентузіаста?

Ні lockfile, ні безпеки

Екосистема MCP зараз налічує понад 16 000 community-серверів. Аудит Qualys від 20 березня — за тижні до квітневого водоспаду CVE — вже показав тріщини у фундаменті: 53% серверів покладались на статичні секрети — захардкоджені паролі, які ніколи не ротуються.

А ось чому це гірше за npm — пакетний менеджер, який JavaScript-розробники знають і побоюються. npm-пакети можна залочити на версію: обираєш версію, пінишь її, і шкідливий апдейт тебе не зачепить, поки сам не вирішиш оновитися. MCP-сервери, що працюють через SSE (Server-Sent Events — спосіб, яким сервер пушить оновлення у реальному часі), — це живі сервіси. Коли мейнтейнер заливає код, кожен підключений агент отримує нову поведінку миттєво. Без lockfile. Без рев'ю. Без згоди.

Tool schema — контракт, який каже AI-агенту, що сервер уміє — може тихо змінитися за ніч. Немає контрольної суми. Немає сповіщення про diff. Немає аналога package-lock.json. У понеділок ваш агент просив «доступ на читання GitHub issues»; до четверга той самий сервер може запросити «запис у всі репозиторії», і ваш агент погодиться, бо довіряє ідентичності сервера, а не набору дозволів.

Якщо це звучить як віддати комусь ключі від квартири й сподіватися, що він не вріже новий замок від вас — так, приблизно так воно і є.

475 шкідливих Pull Request за 26 годин

Доказ прибув 4 квітня. Wiz Research опублікував кампанію prt-scan: один зловмисник, шість фейкових GitHub-акаунтів, 475 шкідливих pull request — пропозицій змін коду — надіслані в репозиторії AI-інструментів за одну добу. Корисне навантаження крало AWS-ключі, GitHub-токени, API-токени Cloudflare. Зловмисник скомпрометував щонайменше два npm-пакети в 106 опублікованих версіях. Wiz описав підхід як «автоматизація, а не розуміння» — складні багатофазні payload від когось, хто не до кінця розумів модель безпеки GitHub, але все одно завдав реальної шкоди.

А потім 16 квітня впав CVE-2026-33032: MCPwn, обхід автентифікації з CVSS 9.8 в MCP-інтеграції nginx-ui, який активно експлуатувався на 2 600 відкритих інстансах у 50+ країнах. Фікс? Двадцять сім символів коду — додавання одного middleware-виклику. Дослідник безпеки Йотам Перкаль сформулював ідеально: «Коли ви прикручуєте MCP до існуючого застосунку, MCP-ендпоінти успадковують повні можливості застосунку, але не обов'язково його контролі безпеки».

Двадцять сім символів відділяли 2 600 серверів від повної компрометації. Хай це відстоїться.

Де рятувальна сітка?

Ніхто ще не побудував npm audit для MCP. Немає загальноекосистемного сканування вразливостей. Немає lockfile для tool schema. Офіційний MCP Registry використовує автентифікацію неймспейсів через GitHub-акаунти, але обов'язкового аудиту коду немає, верифікації мейнтейнерів за межами «доведіть, що домен ваш» — теж. Інструменти на кшталт mcp-scan існують, але рівень впровадження мікроскопічний у порівнянні з потребами екосистеми.

Тим часом ентерпрайзи підключають ці сервери до продакшн-воркфлоуів агентів — автономних AI-систем, які створюють тікети, пушать код і запитують бази даних без того, щоб людина натискала «підтвердити» кожного разу. Qualys називає MCP-сервери «новим Shadow IT»: вони ховаються за localhost, випадковими портами та IDE-плагінами, невидимі для будь-якого традиційного інструменту безпеки.

Що реально робити

Перед тим як підключати черговий community MCP-сервер до продакшн-агентів:

  • Перевірте кількість мейнтейнерів. Один — це bus factor один. Якщо йому набридне, ви успадкуєте його борг безпеки.
  • Перевірте дату останнього коміту. Покинутий код не патчиться.
  • Прочитайте tool descriptions. Prompt injection — маніпуляція AI для виконання незапланованих дій — ховається у відкритому тексті, включно з метаданими сервера.
  • Запініть перевірену версію локально. Запускайте MCP-сервери з локальної копії, яку ви переглянули, а не з живого віддаленого ендпоінту.
  • Майте план заміни. Коли сервер зникне — не «якщо», а «коли» — вам потрібно підмінити його без поломки агентів.

Годинник цокає

npm знадобилось 15 років, щоб зрозуміти: ланцюжки поставок відкритого коду потребують governance — від left-pad, що поклав пів інтернету у 2016, до event-stream, що крав криптовалюту у 2018, до обов'язкової двофакторної автентифікації для мейнтейнерів у 2022. MCP проходить той самий урок за 18 місяців, зі ставками вищими: це не бібліотеки, що збирають ваш застосунок, це живі сервіси, що діють як ваш застосунок.

Перший великий злам — не CVE, не proof of concept, а реальні дані клієнтів, що витечуть через скомпрометований MCP-сервер — визначить, чи екосистема побудує інфраструктуру безпеки, чи просто продовжить клепати нові сервери.

Моя ставка — на сервери.