Саймон Уиллисон — разработчик Datasette и один из самых внимательных наблюдателей за практическим AI — 19 июня 2026 года процитировал комментарий инженера Шона Линча с Hacker News. Там было сказано то, что редко звучит в официальных докладах и маркетинговых материалах про MCP.
The real valuable capability MCP offers over skills/CLI is isolating the auth flow outside of the agent's context window, and potentially out of the harness completely. [...] Maybe the idealized form of MCP is just an auth gateway for the API and nothing else. That'd still be a win. — Sean Lynch
Контекст
MCP (Model Context Protocol) — открытый стандарт, который Anthropic предложила для подключения LLM-агентов к внешним сервисам, базам данных и инструментам. Идея: вместо кастомных обёрток для каждого интегратора — единый протокол. Сегодня MCP поддерживается в Claude, Cursor, Cline, Zed и десятках других инструментов. Экосистема растёт быстро: появились сотни готовых MCP-серверов для GitHub, Notion, Postgres, Slack и других сервисов.
Стандартный нарратив вокруг MCP такой: он унифицирует tool-calling, позволяет агентам вызывать функции в стандартизованном формате, упрощает интеграции. Всё это правда. Но Линч смотрит на другой слой — и именно там, по его мнению, прячется настоящая ценность протокола.
До MCP у разработчиков было несколько плохих вариантов: встроить credentials прямо в системный промпт (риск утечки через логи и prompt injection), использовать CLI-обёртки (плохо масштабируется, vendor lock-in), или писать кастомные skills под конкретный агентный фреймворк. Ни один вариант не решал вопрос безопасного хранения авторизации изолированно от самого агента.
Аналитика
Тезис Линча переворачивает разговор. Когда агент работает от имени пользователя, ему нужен доступ к OAuth-токенам, API-ключам, сессионным данным. Классический подход — передать всё это в контекст. Проблема: LLM «видит» credentials, они могут утечь через prompt injection, осесть в истории запросов, попасть в логи аналитики. MCP выносит авторизацию наружу — агент делает запрос через шлюз, который уже авторизован, но сам токен никогда не оказывается в контекстном окне.
Если развить мысль: будущее агентной инфраструктуры — не монолитные «умные агенты с доступом ко всему», а тонкие агенты плюс специализированные auth-прокси. Каждый внешний сервис — отдельный MCP-сервер с изолированными credentials. Агент знает интерфейс, но не знает секретов. Это классический принцип least privilege, перенесённый в agentic-архитектуру. Большинство команд, которые сегодня строят AI-продукты, этот принцип нарушают — просто потому что удобнее положить токен в .env и передать в промпт.
Интересно, что подобные инсайты чаще приходят из комментариев практиков, а не из официальных спек. Уиллисон собирает такие цитаты не случайно — они формируют реальное понимание того, как должны строиться агентные системы, до того как это станет общепринятым паттерном. Через год-два архитектура «MCP как auth-шлюз» может стать стандартом де-факто.
Кейсы применения в бизнесе
B2B-SaaS стартап с multi-tenant архитектурой. Если каждый клиент имеет свои credentials к внешним сервисам — CRM, бухгалтерия, мессенджеры — передавать токены клиента в контекст агента нельзя. Решение: MCP-сервер per-tenant. Агент вызывает инструмент, сервер сам подставляет нужные credentials. Клиент спокоен, audit trail чистый, изоляция между тенантами гарантирована на уровне архитектуры, а не логики агента.
Корпорация с legacy-инфрой. Типичная ситуация: десяток внутренних систем с разными схемами аутентификации — LDAP, SAML, OAuth 2.0, Basic Auth из нулевых. Давать агенту прямой доступ к корпоративному SSO нереально. MCP-слой выступает адаптером: каждая legacy-система получает свой MCP-сервер, который переводит запросы агента в нужный протокол. Агент работает с единым интерфейсом, не зная об этом зоопарке систем.
SMB и локальный бизнес в КР/СНГ. Небольшая компания хочет AI-ассистента, который параллельно работает с несколькими сервисами. Не нужен сложный агентный оркестр — достаточно отдельных MCP-серверов с изолированными ключами и одного агента, который знает интерфейс, но не знает секретов. Бюджет минимальный, безопасность приемлемая, и при смене подрядчика credentials сервисов не нужно ни у кого отзывать из промптов.
Кейсы в личной жизни
Разработчик. Вы строите персонального AI-агента, который работает с GitHub, Notion, почтой и трекером задач. Прямо сейчас токены, скорее всего, живут в .env и попадают в системный промпт или передаются в функции. Попробуйте переосмыслить через тезис Линча: поднять локальный MCP-сервер для каждого сервиса, где credentials живут только там. Агент больше не «знает» ваш токен — он просто вызывает инструмент.
Фрилансер и контент-мейкер. Если вы используете AI для работы с несколькими клиентами — постинг в соцсети, таблицы, коммуникации — MCP-подход помогает не путать контексты. Каждый клиент — отдельный MCP-конфиг с его credentials. Агент переключается между профилями, не смешивая данные. Это и безопаснее, и проще в поддержке.
Студент и исследователь. Тезис Линча — отличный entry point для понимания безопасности в agentic AI. Это не «добавить шифрование», а переосмыслить, где живут секреты. Попробуйте поднять простой MCP-сервер (есть готовые примеры на Python и TypeScript в официальной документации Anthropic) и посмотреть, как изоляция auth меняет архитектурные решения — это быстро делает концепцию осязаемой.
Как применить сегодня
- Проревьюте текущие AI-интеграции: где credentials оказываются в контекстном окне агента? Это потенциальные точки утечки.
- При проектировании новой agentic-системы закладывайте принцип: один MCP-сервер на один внешний сервис — хорошая отправная точка для архитектуры с минимальными привилегиями.
- Если используете Claude Code или Cursor с MCP-серверами — проверьте, не дублируются ли credentials в системных промптах и конфигах. Они должны жить только в конфиге MCP-сервера.
- Изучите блог Саймона Уиллисона — он методично собирает именно такие практические инсайты от людей, которые строят реальные системы, а не читают пресс-релизы.
- Для команды: сделайте ревью архитектуры текущего AI-продукта с вопросом «где у нас агент видит секреты?» — это быстро выявит технический долг безопасности.