Спустя год после первоначального анализа безопасности авторы вновь обращаются к реализациям протокола контекста модели (MCP), отмечая его быстрое развитие от экспериментов до производственного использования. MCP теперь позволяет моделям действовать как программное обеспечение, вводя критический рубеж доверия вокруг взаимодействий с инструментами. Ключевые изменения в последнем релиз-кандидате включают улучшенную проверку запросов, более строгие проверки идентификации и возможности интерактивного пользовательского интерфейса в песочнице. Однако сам протокол не обеспечивает безопасность, оставляя реализацию на усмотрение пользователей.Основные риски сместились, при этом внедрение подсказок (prompt injection) и отравление инструментов (tool poisoning) остаются значительными угрозами. В этом сценарии вредоносные инструкции, встроенные в описания или выходные данные инструментов, могут захватить действия агента, что приведет к утечке данных или несанкционированным операциям. Авторизация и проблема "сбитого с толку заместителя" (confused deputy problem) претерпели значительную доработку, теперь они соответствуют стандартам OAuth 2.1 и токенам, привязанным к аудитории, чтобы предотвратить использование серверами привилегий пользователя. Чрезмерно широкий доступ и агрегация учетных данных остаются проблемами, когда один скомпрометированный сервер с чрезмерными разрешениями может привести к широкомасштабным взломам.Риски цепочки поставок и "rug pulls" становятся все более распространенными, поскольку скомпрометированные зависимости или неожиданные изменения сервера могут привести к уязвимостям. Незарегистрированные реализации "теневого MCP" (shadow MCP) также представляют собой проблему управления, поскольку невидимые серверы не могут быть защищены или исправлены. Внедрение команд (command injection) и побег из песочницы (sandbox escape) по-прежнему вызывают беспокойство для локально работающих серверов, обрабатывающих несанкционированный ввод, что потенциально позволяет выполнять произвольный код. Предприятия должны применять продуманные стратегии внедрения, уделяя особое внимание инвентаризации серверов, обеспечению идентификации и политик, а также непрерывному мониторингу.Проверка текущей документации и SDK, а также предоставление практических примеров усиления безопасности являются важными шагами для организаций. Авторы призывают сообщество внести свой вклад в функции безопасности MCP и RFC. Будущие обсуждения будут посвящены практическим руководствам по реализации этих средств контроля безопасности.