Historie nás učí, že automatizace bez odpovídajících bezpečnostních opatření může být receptem na katastrofu.
Společnost Microsoft je odhodlána změnit uživatelskou zkušenost ve Windows 11 integrací umělé inteligence. Na konferenci Build společnost oznámila nativní přidání protokolu MCP (Model Context Protocol), čímž zahájila novou éru inteligentní automatizace funkcí a aplikací svého operačního systému.
Stejně jako v případě ActiveX a OLE Automation v Microsoft Office a Internet Exploreru by se však tato ambiciózní iniciativa mohla stát velkým bezpečnostním problémem, pokud nebude správně řízena.
Co je MCP a co navrhuje společnost Microsoft
Protokol MCP (Model Context Protocol) představila společnost Anthropic teprve před půl rokem jako standardizovaný protokol pro aplikace s funkcemi umělé inteligence, které mají přistupovat k datům z různých systémů. Rychle se vyvíjel a nyní se stává základem pro všudypřítomnější automatizaci, a to nejen v rámci jedné aplikace, ale napříč různými službami.
Související článek
MCP umožňuje serverům – místním nebo vzdáleným – hlásit své schopnosti a přijímat příkazy k provádění úloh. Cílem společnosti Microsoft je umožnit, aby jediný příkaz v přirozeném jazyce spustil řetězec akcí od sběru dat přes tvorbu grafů v Excelu až po automatické odesílání e-mailů.
Windows budou operačním systémem pro agenty
Začleněním MCP do systému Windows chce Microsoft z operačního systému vytvořit „agentový operační systém“: prostředí, ve kterém mohou agenti s umělou inteligencí vykonávat složité akce jménem uživatele. Aby to bylo možné, bude zavedeno několik nových funkcí:
- Místní protokolování MCP: umožní zjišťování nainstalovaných serverů MCP.
- Integrované servery MCP: zpřístupní systémové funkce, jako je přístup k souborovému systému, správa oken a subsystém Windows pro Linux (WSL).
- App Actions: nové rozhraní API, které umožní aplikacím třetích stran vystavit své vlastní akce jako servery MCP, což usnadní automatizaci mezi aplikacemi.
The Model Context Protocol (MCP) platform on Windows will offer a standardized framework for AI agents to connect with native Windows apps, which can expose specific functionality to augment the skills and capabilities of those agents on Windows 11 PC. https://t.co/NkfEWY44Q9 pic.twitter.com/fJd3sH67db
— Windows Developer (@windowsdev) May 20, 2025
Již byla oznámena partnerství se společnostmi, jako jsou Figma, Perplexity, Zoom, Todoist a Spark Mail, což je důkazem zájmu průmyslu o tuto infrastrukturu.
Automatizace, ale za jakou cenu?
Navzdory potenciálu MCP jsou bezpečnostní rizika značná. David Weston, vlastní viceprezident společnosti Microsoft pro bezpečnost podniků a operačních systémů, varoval před sedmi vektory útoku, které tuto architekturu ohrožují:
- „Cross-prompt injection“: škodlivé příkazy, které modifikují instrukce agenta.
- Nedostatečně silné ověřování: nekonzistentní a nevyzrálé současné standardy.
- Únik pověření.
- „Otrávení nástrojů“: používání neověřených serverů MCP, které mohou být kompromitovány.
- Nedostatečné omezení mezi procesy.
- Nedostatečná kontrola zabezpečení mnoha serverů MCP.
- Rizika v dodavatelském řetězci v důsledku zapojení škodlivých serverů.
Tyto problémy připomínají historické zranitelnosti ActiveX a OLE Automation v kancelářském balíku Office, technologie, které sice umožňovaly nesmělou počáteční automatizaci, ale zároveň byly po léta zneužívány kyberzločinci.
Jak hodlá Microsoft tato rizika zmírnit
Microsoft tvrdí, že bezpečnost je jeho nejvyšší prioritou. Za tímto účelem navrhl řadu opatření:
- Zprostředkující proxy: bude spravovat všechny interakce mezi klientem a serverem MCP a prosazovat zásady zabezpečení, auditu a souhlasu.
- Základní úroveň zabezpečení serverů MCP: bude zahrnovat požadavky, jako je podepisování kódu, prokazování bezpečnosti rozhraní a deklarace nezbytných oprávnění.
- Izolace za běhu a granulární oprávnění, omezení akcí podle kontextu a původu.
Mnohá z těchto opatření však nebudou včas k dispozici v úvodním náhledu, který bude vývojářům poskytnut během několika týdnů.
Poučení z minulosti
K pochopení rizik protokolu MCP (Model Context Protocol) se stačí podívat zpět na automatizační technologie, které Microsoft prosazoval v minulosti. Dvěma obzvláště názornými příklady jsou ActiveX a OLE Automation, které jsou po desetiletí základními pilíři automatizace v Office a dalších produktech společnosti Microsoft, ale jsou také nechvalně známé svou historií zranitelností.
Technologie ActiveX, představená v 90. letech jako způsob spouštění komponent COM v prohlížeči Internet Explorer, slibovala obohatit webové prostředí o interaktivní formuláře, přehrávače médií, editační nástroje atd. Teoreticky umožňoval webovým stránkám nabízet funkce podobné desktopovým aplikacím, v praxi však ActiveX znamenal bezpečnostní katastrofu.
Kvůli vysoké úrovni oprávnění a špatnému omezení mohly ovládací prvky ActiveX spustit v systému uživatele libovolný kód. To útočníkům umožňovalo šířit škodlivý software jednoduše tak, že uživatel navštívil webovou stránku: stal se tak běžným vektorem pro trojské koně, keyloggery a spywarové infekce. Ačkoli společnost Microsoft později zavedla opatření, jako je „killbit“ nebo používání bezpečnostních zón, pověst této technologie již byla poškozena.
Trik, který se skrývá za škodlivými makry
OLE Automation naopak umožňovala některým aplikacím sady Office, jako jsou Word a Excel, komunikovat s jinými aplikacemi a systémy prostřednictvím skriptů a maker napsaných v jazyce VBA (Visual Basic for Applications). Díky této schopnosti se Office stal mocným nástrojem pro automatizaci podnikání a také oblíbenou vstupní branou pro útoky založené na škodlivých makrech.
Kyberzločinci po léta zneužívali makra aplikací Excel a Word ke spouštění škodlivých zátěží, stahování ransomwaru nebo vytváření zadních vrátek do systémů. I dnes, navzdory nedávným omezením (jako je výchozí zakázání maker stažených z internetu), zůstávají OLE a VBA relevantním vektorem útoků, zejména ve firemním prostředí, kde se tyto funkce stále používají.
Paralela s MCP
MCP sdílí s těmito technologiemi základní princip: umožňuje různým komponentám – systémům, aplikacím a nyní i agentům umělé inteligence – vzájemně komunikovat za účelem automatizace úloh. Činí tak však na vyšší úrovni abstrakce a především s novou vrstvou umělé inteligence.
Tento koncepční skok zvyšuje užitečnost, ale také zesiluje rizika. Agent umělé inteligence s přístupem k více serverům MCP by mohl například dotazovat soukromá data, upravovat soubory, spouštět aplikace nebo odesílat e-maily, jediným škodlivým příkazem, pokud nejsou stanoveny jasné hranice.
Navíc, stejně jako v případě ActiveX a OLE, bude úspěch MCP do značné míry záviset na tom, jak budou regulovány servery třetích stran. Bez přísného ověřování těchto komponent – což Microsoft podle svých slov plánuje v budoucnu – by MCP mohl otevřít dveře novému typu útoku: útoku organizovanému konverzačními agenty.
Bude to tentokrát jinak? Historie ukazuje, že když je automatizace příliš silná a přístupná bez dostatečné kontroly, útočníci rychle využijí jejích slabin. Ačkoli Microsoft v souvislosti s MCP prokázal větší povědomí o těchto rizicích již na počátku, teprve se ukáže, jak budou jeho bezpečnostní sliby implementovány v reálném prostředí.