MCP: як AI безпечно підключається до інструментів

Компанія впровадила асистента AI для обслуговування клієнтів — він чудово відповідає на запитання, але не може зазирнути в CRM, щоб перевірити статус замовлення. Щоб це виправити, розробники пишуть черговий нестандартний місток: окремий код інтеграції, який потрібно підтримувати окремо від моделі. З третім інструментом логіка починає розвалюватися. MCP з’явився, щоб розрубати цей вузол раз і назавжди.

Model Context Protocol — відкритий стандарт (опублікований Anthropic у 2024, з 2025 розвивається широким консорціумом), що описує, як клієнт — тобто модель або агент — спілкується з сервером інструментів. Кожен сервер MCP надає набір функцій: tools (інструменти для виклику), resources (дані для читання) та prompts (шаблони). Модель бачить список доступних інструментів, обирає потрібний і надсилає структурований виклик (structured output). Сервер виконує дію та повертає результат.

Ключова відмінність від звичайного API: MCP — це протокол, а не бібліотека. Це означає, що будь-яка модель, що підтримує MCP, може спілкуватися з будь-яким сервером MCP — без переписування коду з обох сторін. Це як USB: кабель підходить до будь-якого пристрою, бо обидві сторони говорять однією мовою.

Екосистема MCP складається з трьох шарів:

• Хост — застосунок, що запускає модель (асистент, агент, IDE). Керує сесіями, автентифікацією та правами користувача.
• Клієнт MCP — частина хоста, відповідальна за встановлення з’єднання з сервером і транслювання відповідей моделі у виклики протоколу.
• Сервер MCP — легкий процес (локальний або віддалений), що надає конкретні інструменти: доступ до файлів, база даних, API зовнішньої системи, семантичний пошук.

У типових корпоративних впровадженнях хост працює на стороні клієнта або на внутрішньому сервері застосунків, а сервери MCP розташовані близько до даних. Чутливі дані — наприклад, документи з PII — обробляє сервер, запущений локально, без виходу в хмару (self-hosting).

Без MCP кожна інтеграція агента з корпоративною системою — це окремий проєкт: нестандартний код, окрема документація, окремі тести. З MCP достатньо написати сервер один раз і надати його кожному агенту в організації. Кілька практичних наслідків:

Для команд, що підтримують кількох агентів, це не незначне покращення — це зміна порядку складності підтримки.

MCP знижує вартість інтеграції, але водночас розширює поверхню атаки — кожен сервер — це нова точка входу. Проєктуючи впровадження, вирішуємо кілька рівнів:

Мінімальні права. Кожен сервер MCP повинен надавати лише ті інструменти, які агент реально потребує. Сервер для читання FAQ не повинен мати доступу до інструментів, що змінюють дані. Правило: нуль прав за замовчуванням, додавай лише те, що необхідно.

Guardrails перед викликом. Перед виконанням виклику інструмента агент проходить через фільтр: чи відповідає цей виклик завданню? Чи не намагається вийти за межі дозволених ресурсів? Чи не схоже на спробу ін’єкції (prompt injection)? Фільтр працює незалежно від моделі, на стороні сервера.

Людський нагляд для незворотних дій. Видалення запису, відправка електронного листа, зміна в продуктивній системі — такі виклики не повинні проходити автоматично. Human-gate зупиняє виконання і чекає на підтвердження оператора. Той самий підхід, що й при проєктуванні безпеки агентів AI.

Логування кожного виклику. MCP дозволяє централізований лог усіх операцій: коли, ким, який інструмент, з якими аргументами, з яким результатом. Без цього логу немає підзвітності, яку вимагають AI Act і RODO.

Ізоляція чутливих даних. Сервери, що обробляють документи з PII, запускаємо локально. Дані не залишають інфраструктури клієнта — модель отримує лише оброблені, анонімізовані результати.

Часто виникає питання: у мене вже є RAG — навіщо мені MCP? Це не конкуренція — це комплементарні шари:

• RAG відповідає на питання: що модель повинна знати? Витягує потрібний фрагмент з бази знань і додає до контексту (embedding, vector-db, reranking).
• MCP відповідає на питання: що модель повинна зробити? Викликає інструмент: перевір статус, створи запис, надішли запит.

На практиці агент з RAG + MCP виглядає так: RAG надає контекст з документів, MCP надає актуальні дані з систем і дозволяє виконувати дії. Разом вони створюють асистента, який знає і може діяти — а не просто говорить.

Детальніше про сам RAG і про те, коли замість нього краще застосувати fine-tuning, читайте в статті RAG vs fine-tuning.

Впровадження не обов’язково починати з переписування всього. Практична послідовність:

1. Визнач один процес з інтеграцією. Шукай місце, де агент сьогодні змушений питати людину про дані, які є в корпоративній системі — CRM, база продуктів, черга заявок. Допомагає в цьому finder автоматизації.
2. Напиши один сервер MCP, що обробляє цей один випадок. Мінімальна версія — кількасот рядків коду.
3. Визнач права та guardrails перед запуском у продакшен. Які інструменти доступні? Які вимагають підтвердження? Що логується?
4. Виміряй результати пілоту. Скільки викликів, скільки помилок, час відповіді, скільки разів human-gate зупинив дію.
5. Додавай наступні сервери — кожен наступний дешевший, бо протокол уже відомий обом сторонам.

Вартість і час впровадження сильно залежать від складності існуючих систем. Порахуй це заздалегідь у калькуляторі ROI — оцінка буде точною, коли знатимеш, скільки викликів на місяць планує агент і скільки коштує кожна година роботи, яку він замінює.

Опиши інтеграцію, яку хочеш побудувати, а модель допоможе спроєктувати архітектуру сервера MCP з guardrails і списком прав (playground: PII маскуються, нульова ретенція):

MCP (Model Context Protocol) — відкритий стандарт зв’язку між моделлю AI та зовнішніми інструментами й системами даних. Дозволяє агенту викликати функції — перевірку запису в CRM, читання файлу, відправку запиту до API — у стандартизований, аудитований спосіб. Завдяки цьому одна інтеграція працює з будь-якою моделлю, що підтримує протокол.

Безпека залежить від того, як спроєктуєш сервер. MCP сам по собі — лише протокол, він не нав’язує і не блокує жодних прав. Безпечне впровадження вимагає: мінімальних прав для кожного сервера, guardrails, що фільтрують виклики, людського підтвердження для незворотних дій і централізованого логування. Чутливі дані обробляє локальний сервер, який нічого не відправляє в хмару.

API — це інтерфейс конкретної системи, написаний під конкретну модель. MCP — це протокол: він описує, як будь-який клієнт може спілкуватися з будь-яким сервером без переписування коду з жодного боку. Зміна моделі AI не вимагає переписування інтеграцій — достатньо, щоб нова модель підтримувала MCP. Це та сама різниця, що між спеціальним кабелем і USB.

RAG і MCP вирішують різні проблеми. RAG надає контекст з документів — модель знає більше, перш ніж відповісти. MCP дозволяє агенту виконувати дії у зовнішній системі. У повноцінного агента потрібні обидва: RAG для знань, MCP для дій. Можна починати з одного і додавати інший, коли з’явиться потреба в інтеграції з операційними системами.

Вартість залежить від складності систем, які потрібно підключити. Один простий сервер (читання однієї бази або API) — це проєкт на кілька днів. Складніші інтеграції з багатьма системами та розвиненими guardrails вимагають довшого пілоту. Почни з калькулятора ROI, щоб оцінити доцільність, або запишись на консультацію через контактну форму.