З такими протоколами, як MCP, моделі вже не просто реагують на підказки. Вони активно міркують про інструменти та кроки, необхідні для виконання завдання.
Одним з найбільших обіцянок розгортання AI був шанс розвантажити психічно вимогливі завдання, схильні до помилок людських команд. Ранні моделі показали потенціал, але вони часто вимагали більше нагляду, ніж очікувалося. Вироблення результатів, які вимагали постійної корекції або огляду людини. Тепер нове покоління агентського ШІ змінює це рівняння. Системи, побудовані на протоколі контексту моделі Anthropic (MCP), можуть динамічно вибирати та виконувати інструменти для виконання складних багатоступеневих робочих процесів. Однак, як показує останні дослідження від Tenable, це додала самостійність, викликає нові питання про те, як ці агенти приймають рішення і що відбувається, коли все не йде, як було заплановано.
Який протокол контексту моделі приносить AI
Протокол контексту моделі, або MCP,-це рамка, розроблена антропом, яка дозволяє великим мовним моделям (LLMS) взаємодіяти із зовнішніми інструментами та послугами модульно-контекстним способом.
Перед рамками, як MCP, більшість систем AI взаємоділи із зовнішніми інструментами за допомогою щільно з'єднаних кодів або заздалегідь визначених викликів API. Ці інтеграції повинні були бути чітко запрограмовані, тобто модель насправді не «розуміє», що робив кожен інструмент. Він просто виконав те, що йому сказали. Ця жорсткість ускладнила AI приймати незалежні рішення або адаптуватися до змінних завдань без значного втручання розробників.
MCP змінює, що шляхом трактування інструментів як контекстних входів, а не статичних інструкцій. Замість того, щоб покладатися на жорстко кодовану логіку або жорсткі дерева рішень, AI отримує метадані про кожен інструмент, такі як його ім'я, мета та параметри, і використовує це для міркування щодо того, який інструмент зателефонувати, коли його називати та як обробляти вихід. Цей перехід від контролю до контекстного розуміння – це те, що дозволяє справжній агентний поведінка.
На практиці це означає, що агент AI може виконати завдання, як генерування звіту, запит бази даних та надсилання електронного листа, не потребуючи попередньо написаних сценаріїв для кожної комбінації дій. Він може динамічно спланувати свої кроки, вибираючи інструменти, як це потрібно, на основі контексту, який він наведений. Розробникам не потрібно заздалегідь передбачати кожен можливий робочий процес. Натомість модель зчитує описи та надає найкращу послідовність інструментів для виконання завдання.
Див. Також: MCP: Увімкнення наступної фази Enterprise AI
Погляд на дослідження
Але ця сама гнучкість вводить нову складність: Розуміння моделі того, що робить кожен інструмент, і як його слід використовувати, повністю залежить від мови в описі. Саме тут нещодавні дослідження починають виявляти, наскільки крихкою та потужною може бути цей дизайн.
У агентських системах AI, що використовують протокол контексту моделі, описи інструментів – це більше, ніж документація; вони керують прийняттям рішень. Кожен інструмент поставляється з природним описом мови, який модель читає та інтерпретує, щоб вирішити, як і коли її використовувати.
Дослідження Tenable показали, наскільки впливовими можуть бути ці описи. Вставляючи конкретні інструкції в опис інструменту журналу, дослідники змогли спочатку спочатку зателефонувати цьому інструменту, перш ніж виконати будь -які інші. По суті, вони використовували оперативну ін'єкцію для імітації політики, що застосовується не кодом, а ретельно створеною мовою.
Моделі реагували по -різному. Claude Sonnet 3.7 та Gemini 2.5 Pro послідовно дотримувались передбачуваної послідовності, тоді як GPT-4O дала більше непослідовних результатів, іноді галюцинації даних про журнал або неправильно тлумачення параметрів. Це підкреслює ключову вразливість: навіть у спільному протоколі моделі не тлумачать контекст однаково.
Ця невідповідність вводить ризик. Якщо агент AI несе відповідальність за секвенування чутливих дій, таких як реєстрація, попередження або пошук даних, незначні зміни в описах інструментів можуть призвести до непередбачуваної або непередбачуваної поведінки.
Спостережність, самоаналіз та безпека
Експерименти Tenable також продемонстрували, як MCP можна використовувати для впливу на поведінку агента поза виконанням завдань. В одному випадку вони створили інструмент фільтрації, який заблокував доступ до певних інструментів MCP за іменем. Коли його називають спочатку, цей інструмент діяв як політичний брандмауер, імітуючи контроль доступу через оперативну логіку.
Інші інструменти були розроблені для самоаналізу, попросивши модель перелічити інструменти, які можуть працювати спочатку. Деякі моделі відповіли внутрішніми назвами інструментів, що дозволяє припустити, що частини внутрішнього процесу агента можуть бути зроблені за допомогою добре складених підказок. В іншому тесті дослідники вбудували запит на розкриття підказки системи, і, хоча результати змінювались, відповіді пропонували підказки про оперативний контекст ШІ.
Ці методи розмивають межу між спостереженням та експлуатацією. Ті ж оперативні механізми, що забезпечують прозорість та контроль, також можуть виявити чутливу поведінку, якщо зловживають.
Ставки агента AI
Підйом агентського АІ позначає переломний момент не лише в тому, що AI може зробити, а в тому, як це робить. З такими протоколами, як MCP, моделі вже не просто реагують на підказки; Вони активно міркують про інструменти та кроки, необхідні для виконання завдання. Ця зміна є потужною, але, як показує дослідження Tenable, це також створює нові шари складності та ризику.
Хороша новина? Ці точні механізми, коли їх розуміють та застосовують ретельно, можуть підвищити прозорість, контроль та навіть відповідність. Коли ми будуємо більше автономних систем, нам потрібно буде переосмислити безпеку, спостереження та управління зсередини. У світі агентського ШІ мова – це не просто середовище навчання. Це інтерфейс, контрольний шар та потенційна вразливість відразу.