Model Context Protocol зафиксировал 97 млн ежемесячных загрузок SDK по состоянию на март 2026 и стал де-факто стандартом подключения агентов к внешним инструментам, API и данным. За заголовочной цифрой скрываются три вещи, о которых молчат пресс-релизы.
Что известно:
97 млн — это ежемесячные загрузки официальных TypeScript и Python SDK (@modelcontextprotocol/sdk и mcp на PyPI). Протокол стартовал в ноябре 2024 примерно с 2 млн загрузок.
Темп роста — 4 750% за 16 месяцев — это метрика npm/PyPI, которая считает каждый CI/CD-пайплайн, каждый pip install в Docker-образе, каждый повторный запуск. Реальных production-деплойментов кратно меньше. Для сравнения: у Python-пакета requests — миллиарды загрузок в месяц.
Помимо загрузок — 10 000 активных серверов и поддержка первого класса в ChatGPT, Claude, Cursor, Gemini, Microsoft Copilot и Visual Studio Code.
В декабре 2025 Anthropic передала MCP в Agentic AI Foundation (AAIF) — directed fund под Linux Foundation, сооснованный Anthropic, Block и OpenAI при поддержке Google, Microsoft, AWS, Cloudflare и Bloomberg.
OpenAI, Microsoft и Google — три компании, ведущие один из самых дорогостоящих конкурентных боёв в истории технологий, — все приняли стандарт, созданный их прямым конкурентом. Без передачи в Linux Foundation этого бы не произошло.
Технические детали:
Технически MCP — это JSON-RPC 2.0 поверх двух транспортов: stdio для локальных процессов и Streamable HTTP для удалённых серверов (HTTP+SSE поддерживается для обратной совместимости, deprecated с марта 2025). Архитектура унаследована из Language Server Protocol (LSP), который уже доказал масштабируемость в тысячах IDE.
⚡ Главная нерешённая техническая проблема: MCP хорошо работает в паттернах request-response, но агентные воркфлоу всё чаще требуют стриминга данных — рыночных фидов, логов, метрик реального времени. Спецификация включает примитивную поддержку стриминга, но production-реализации отстают.
Безопасность — реализованная атаковая поверхность, не гипотетический риск:
— CVE-2025-6514 (CVSS 9.6) — уязвимость в mcp-remote версий 0.0.5–0.1.15. Позволяет выполнить произвольные OS-команды при подключении к недоверенному MCP-серверу через Claude Desktop. Успешная атака — полная компрометация системы. Исправлено в версии 0.1.16.
— Пакет mcp-remote скачали более 437 000 раз (данные JFrog на момент публикации CVE). Это первый задокументированный кейс полной компрометации системы через MCP-инфраструктуру.
— За январь–февраль 2026 подано более 30 CVE против MCP-реализаций. Атаки с подменой инструментов (tool poisoning) успешны в 84,2% случаев при включённом auto-approval — по данным бенчмарка MCPTox (353 инструмента, 1 312 тест-кейсов). Аудит 17 популярных MCP-серверов выявил средний security-score 34/100 — и 100% без деклараций разрешений (CoSAI, 2026).
— OWASP опубликовал MCP Top 10 — структурированный фреймворк критических рисков при интеграции инструментов AI-агентов.
💡 Наш взгляд:
Аналогия с TCP/IP была бы нечестной без оговорки: у MCP есть конкурент. Google позиционирует A2A (Agent2Agent) как дополняющий протокол: MCP решает подключение агентов к инструментам и данным, A2A — координацию между самими агентами. К осени 2025 A2A заметно сбавил темп, пока MCP становился де-факто стандартом — но к апрелю 2026 A2A передан в Linux Foundation и продолжает развиваться. «Протокольная война» не закончена — она переместилась на уровень multi-agent coordination, где спецификация MCP пока молчит.
Реальный риск сейчас — не конкуренция протоколов, а supply chain. MCP смещает контроль над контекстом от разработчиков приложений к авторам сторонних серверов. Пользователь даёт разрешение один раз — сервер может изменить поведение при любом последующем запуске. Это Log4j-паттерн: широко принятая инфраструктура становится вектором атаки именно потому, что ей доверяют.
✔️ Итог:
MCP — это уже инфраструктура, не эксперимент. Стандарт перестаёт быть предложением в тот момент, когда конкуренты его принимают — потому что альтернатива хуже. Вопрос не в том, победил ли протокол. Вопрос в том, успеет ли security-слой вырасти до масштаба экосистемы раньше, чем случится первый по-настоящему громкий инцидент.
Вы уже разворачиваете MCP в production? Как закрываете вопрос доверия к сторонним серверам?
Источники:
Официальный блог MCP — передача в Linux Foundation
JFrog Security Research — CVE-2025-6514
OWASP MCP Top 10
Anthropic — официальное заявление о передаче MCP
#MCP #AIAgents #Security #OpenSource #AgenticAI
