MCP (Model Context Protocol) — это открытый стандарт, который позволяет ИИ-моделям подключаться к внешним инструментам, данным и сервисам по единым правилам. Проще говоря, это «общий язык», на котором ИИ-приложение договаривается с GitHub, базой данных, Slack или вашей файловой системой — без отдельного костыля под каждый сервис. Если вы читали в нашем курсе, как Claude Code сам открывает пул-реквест на GitHub или лезет в базу данных, — под капотом там как раз MCP.
Создала MCP компания Anthropic и выложила его в открытый доступ 25 ноября 2024 года. Менее чем за два года он превратился из внутреннего решения в отраслевой стандарт, который теперь развивают совместно крупнейшие ИИ-компании — об этом ниже. А начнём с простого вопроса: зачем вообще понадобился ещё один протокол.
Простыми словами: единый стандарт розетки
Представьте, что раньше каждый бытовой прибор шёл со своей уникальной вилкой, и под каждую розетку нужен был отдельный переходник. Купили новый чайник — ищите к нему адаптер; поехали в другую страну — набор переходников растёт. Хаос. Потом договорились о едином стандарте разъёма — и любой прибор подключается в любую розетку без плясок с адаптерами.
MCP — это такой единый стандарт «розетки», только для ИИ. Раньше, чтобы подключить ИИ-помощника к какому-то сервису, разработчикам приходилось писать отдельный «переходник» под каждую пару «этот ИИ ↔ этот сервис». С MCP достаточно, чтобы ИИ-приложение умело говорить на языке MCP, а сервис — отдавал свои возможности по MCP. Дальше они соединяются автоматически.
Сама Anthropic описывает MCP как «USB-C для ИИ» — по той же идее универсального разъёма: один порт вместо десятка несовместимых. Аналогия официальная и удачная, но, как мы увидим в разделе про риски, у этого «универсального разъёма» есть и своя цена — так что не будем принимать её совсем некритично.
Зачем нужен MCP: проблема «каждый с каждым»
Чтобы понять ценность MCP, посмотрим, что было до него.
Допустим, у вас есть 5 разных ИИ-приложений и 10 сервисов, к которым их хочется подключить (почта, календарь, GitHub, база данных и так далее). Без общего стандарта каждую пару приходится соединять вручную: это 5 × 10 = 50 отдельных интеграций, каждую из которых кто-то должен написать и поддерживать. Добавили одиннадцатый сервис — плюс ещё 5 интеграций. Это называют проблемой N×M: число связей растёт как произведение, а не как сумма.
MCP превращает N×M в N+M. Каждое ИИ-приложение учится говорить на MCP один раз (это M), каждый сервис выставляет свой MCP-сервер один раз (это N) — и все они совместимы между собой. Новый сервис с MCP-сервером сразу доступен всем ИИ-приложениям, которые понимают MCP, без отдельной доработки под каждое. Именно эта экономия и сделала MCP популярным: он снимает рутину интеграций, которая раньше съедала уйму времени.
Как это работает
Разберём механику без лишней технической глубины — на уровне «кто с кем говорит».
В MCP есть три роли:
- Хост (host) — приложение, в котором живёт ИИ: Claude Code, десктоп-приложение Claude, IDE с ИИ-агентом. Хост — это тот, кому нужны внешние возможности.
- Клиент (client) — часть внутри хоста, которая держит соединение с одним конкретным сервером и переводит запросы на язык MCP.
- Сервер (server) — программа-«переходник» к конкретному сервису (GitHub, Postgres, файловая система). Сервер объявляет, что он умеет, и выполняет запросы.
Сервер отдаёт хосту три вида возможностей:
- Инструменты (tools) — действия, которые ИИ может выполнить: «создай issue на GitHub», «выполни SQL-запрос», «отправь сообщение в Slack».
- Ресурсы (resources) — данные, которые ИИ может прочитать: файл, запись из базы, содержимое страницы.
- Промпты (prompts) — заготовленные шаблоны запросов, которые сервер предлагает как готовые сценарии.
Соединяются они по одному из двух транспортов: stdio (локально, когда сервер запущен на вашей же машине) или Streamable HTTP (по сети, когда сервер удалённый). Под капотом всё это работает поверх формата JSON-RPC — но новичку эту деталь знать не обязательно; достаточно понимать роли «хост — клиент — сервер» и три вида возможностей.
Примеры MCP-серверов
Чтобы стало нагляднее — вот что дают агенту типовые серверы.MCP-сервер Что получает ИИ GitHub Читать репозитории, создавать issue и пул-реквесты, смотреть diff Файловая система Читать и записывать файлы в разрешённых папках Postgres / базы данных Выполнять запросы и читать структуру таблиц Slack Читать каналы и отправлять сообщения Браузер Открывать страницы, кликать, извлекать данные Google Drive Искать и читать документы
Ранними адоптерами MCP стали компании вроде Block, Apollo, а также инструменты для разработчиков — Zed, Replit, Sourcegraph. Именно из таких серверов и складывается «экосистема»: чем их больше, тем к большему числу сервисов ИИ подключается «из коробки».
Кто принял MCP: это уже не «протокол Anthropic»
Частый вопрос читателя: «Зачем мне стандарт от Anthropic, если я пользуюсь другим ИИ?» Ответ: MCP давно перестал быть решением одной компании.Компания Статус поддержки MCP Anthropic Создатель; Claude Code, Claude Desktop — нативная поддержка OpenAI Официально с марта 2025; полный MCP-клиент в ChatGPT (сентябрь 2025); встроенный тип инструмента mcp в Responses APIGoogle Поддержка с апреля 2025; в декабре 2025 — управляемые удалённые MCP-серверы (Maps, BigQuery и др.); Gemini CLI — MCP-клиент Microsoft Copilot Studio (Streamable HTTP), Semantic Kernel, Azure OpenAI; в числе платиновых участников AAIF (декабрь 2025)
Ключевой факт: 9 декабря 2025 года Anthropic передала MCP в Agentic AI Foundation — фонд под эгидой Linux Foundation. Соучредители фонда — сама Anthropic, OpenAI и Block; в числе платиновых участников — AWS, Google, Microsoft, Bloomberg, Cloudflare. То есть протоколом теперь управляет отраслевой консорциум, а не одна компания, — это снимает риск «стандарта конкурента» и объясняет, почему MCP так быстро распространился.
Насколько это большая экосистема
Единого точного числа MCP-серверов не существует: цифры в разных источниках сильно расходятся. Anthropic в декабре 2025 говорила про «10 000+» серверов; крупнейший сторонний каталог Glama к маю 2026 насчитывал уже около 29 000. Официальный реестр registry.modelcontextprotocol.io при этом не даёт единого агрегированного счётчика.
Один ориентир можно проверить вживую: у официального репозитория modelcontextprotocol/servers на GitHub — около 88 тысяч звёзд и 11 тысяч форков (данные на 10 июля 2026). Это не число серверов, но показатель интереса разработчиков. Вывод простой: экосистема исчисляется как минимум десятками тысяч серверов и быстро растёт, но конкретную цифру стоит воспринимать как оценку, а не как точный факт.
MCP в Claude Code
Раз уж это статья курса по Claude Code — коротко, как MCP подключается там (подробный разбор с настройками — в отдельной статье курса).
Сервер добавляют командой claude mcp add, а список подключённых серверов и их состояние смотрят через /mcp. Конфигурацию можно хранить в файле .mcp.json в проекте — тогда сервер доступен всем, кто работает с этим репозиторием. У серверов есть области видимости (scope): только для вас, для проекта или глобально. Как раз благодаря этому механизму Claude Code и «умеет» ходить в GitHub, базы данных и другие сервисы — он подключает их как MCP-серверы. Например, чтобы дать агенту доступ к вашим задачам в трекере, достаточно подключить соответствующий MCP-сервер одной командой — писать интеграцию с нуля не нужно.
Риски и слабые места
Раздел, который в русскоязычных материалах про MCP почти отсутствует, — а зря. Универсальный разъём удобен, но у него есть обратная сторона.
- Tool poisoning (отравление инструментов). Ещё в апреле 2025 исследователи Invariant Labs показали: описание MCP-инструмента может содержать скрытую инструкцию для модели, которую пользователь не видит, а ИИ выполняет. Позже бенчмарк MCPTox показал высокую долю успешных атак такого рода — до 72,8% на два десятка протестированных фреймворков. Проблема в доверии: подключая сторонний сервер, вы доверяете его автору.
- GTG-1002 — первый задокументированный ИИ-кибершпионаж. В ноябре 2025 Anthropic сама раскрыла случай: злоумышленники использовали связку Claude Code + MCP для атаки примерно на 30 целей, причём, по оценке компании, 80–90% операций агент выполнял автономно. Это уже не теоретический риск, а реальный инцидент с первоисточником-отчётом.
- Вредоносные пакеты. В сентябре 2025 в npm нашли
postmark-mcp— первый известный вредоносный MCP-пакет, который тайно воровал письма. Экосистема серверов — это ещё и цепочка поставок, которую можно отравить. - Уязвимости транспорта. В апреле 2026 компания OX Security раскрыла уязвимость STDIO-транспорта MCP; по её оценке, потенциально уязвимыми могли быть до 200 тысяч установок (это экстраполяция самой OX Security, а не независимо подсчитанный факт).
- «Налог» на контекстное окно. Подключённые серверы занимают место в контекстном окне модели: их описания инструментов надо держать в контексте. На сложных агентах это ощутимо раздувает расход токенов — по разборам марта 2026 года, только на инициализацию GitHub-сервер съедает около 50 000 токенов, сервер базы данных со 106 инструментами — 54 600, а Cloudflare зафиксировала расход до 81% контекстного окна у сложных агентов. Провайдеры уже выпускают средства борьбы с этим, но проблема реальна.
Для баланса — голос критики из индустрии: в марте 2026 технический директор Perplexity публично отказался от MCP в продакшене в пользу прямых интеграций через API, сославшись как раз на накладные расходы. MCP — удобный стандарт, но не универсальное решение на все случаи; там, где важны предсказуемость и экономия, прямой API иногда выигрывает.
Частые заблуждения
- «MCP — это то же самое, что API». Не совсем. API — это способ одной программы обращаться к другой. MCP — стандарт над этим: он описывает, как ИИ-модели единообразно узнают о доступных инструментах и данных и как их вызывать. Грубо говоря, MCP — это «стандартный переходник», а под ним всё равно могут быть обычные API.
- «MCP работает только с Claude». Нет. MCP приняли OpenAI, Google, Microsoft, а сам протокол передан отраслевому фонду. Сервер, написанный под MCP, работает с любым ИИ-приложением, которое понимает протокол.
- «Раз это открытый стандарт, подключать серверы безопасно». Нет. Открытость не равна безопасности: сторонний сервер может оказаться вредоносным (см. раздел рисков). Ставьте серверы только из проверенных источников.
- «MCP бесплатен и ничего не стоит». Сам протокол открытый, но у него есть цена в токенах: описания инструментов занимают контекстное окно, а значит, удорожают и замедляют работу.
Связанные понятия
Короткий словарик, чтобы не путаться в терминах:
- Агент — ИИ, который сам управляет процессом и вызывает инструменты; MCP — один из способов дать агенту эти инструменты.
- Tool calling / function calling — механизм, которым модель «просит» выполнить действие. MCP стандартизирует, как инструменты объявляются и подключаются; вызов конкретного инструмента — это уже tool calling.
- Хост / клиент / сервер — три роли в MCP: приложение с ИИ, соединитель внутри него и «переходник» к сервису.
- Транспорт — способ связи хоста и сервера: stdio (локально) или Streamable HTTP (по сети).
FAQ
Что такое MCP простыми словами? Это открытый стандарт, по которому ИИ-модели подключаются к внешним сервисам и данным — GitHub, базам данных, файлам, мессенджерам. Вместо отдельного «переходника» под каждую пару «ИИ ↔ сервис» используется единый протокол, как единый стандарт розетки. Создала MCP компания Anthropic и открыла его в ноябре 2024 года.
Зачем нужен MCP, если есть API? API соединяют программы попарно, и под каждую пару нужна своя интеграция. MCP задаёт единый способ, которым ИИ узнаёт о доступных инструментах и вызывает их, — это превращает «каждый с каждым» (N×M связей) в «каждый со стандартом» (N+M). Меньше рутины, быстрее подключение новых сервисов.
MCP — это только для Claude? Нет. MCP приняли OpenAI, Google и Microsoft, а с декабря 2025 протоколом управляет отраслевой фонд Agentic AI Foundation (Linux Foundation), соучредители которого — Anthropic, OpenAI и Block. Сервер под MCP работает с любым совместимым ИИ.
Безопасно ли подключать MCP-серверы?
Не всегда. Были реальные инциденты: вредоносный пакет postmark-mcp в npm (сентябрь 2025), кибершпионаж GTG-1002 через Claude Code + MCP (ноябрь 2025), уязвимость транспорта (апрель 2026). Подключайте серверы только из доверенных источников и не давайте им лишних прав.
Сколько существует MCP-серверов? Точного числа нет: оценки расходятся от «10 000+» (Anthropic, декабрь 2025) до примерно 29 000 в крупнейшем стороннем каталоге (май 2026). Правильнее говорить о десятках тысяч серверов и быстром росте, а не о конкретной цифре.
Курс «Claude Code с нуля до продакшена» · модуль «Понять основы». Полная программа и два маршрута обучения — на странице курса.
Предыдущий урок: Чем Claude Code отличается от чата · Следующий урок: Контекстное окно: почему ИИ «тупеет»
