Toen Anthropic in november het Model Context Protocol (MCP) open-source beschikbaar stelde, had het wellicht niet door hoe populair het zou worden. Inmiddels beschikken allerlei vendoren over MCP-support of biedt men manieren om het te beveiligen, uit te breiden of flexibeler te maken. Vanwaar dit succesverhaal van MCP? En zijn er ook risico’s aan het gebruik ervan of tekortkomingen?
Bij de introductie van MCP kon Anthropic het niet weten, maar AI-spelers van Google tot OpenAI hebben het in een paar maanden tijd geadopteerd. We kunnen dus stellen dat de ‘elevator pitch’ van MCP direct ijzersterk was. De allerbeste uitleg van MCP is te vinden in de documentatie ervan: “MCP is een open protocol dat standaardiseert hoe applicaties context bieden aan LLM’s. Zie MCP als een USB-C poort voor AI-toepassingen.”
USB-C voor AI
Die vergelijking gaat nog verder. Zoals Anthropic vertelt: “Net zoals USB-C een gestandaardiseerde manier biedt om je apparaten aan te sluiten op verschillende randapparaten en accessoires, biedt MCP een gestandaardiseerde manier om AI-modellen aan te sluiten op verschillende databronnen en tools.”
LLM’s koppelen aan data en applicaties is een vereiste voor agentic AI, ofwel de inzet van AI voor complexere doeleinden dan tekst- of beeldgeneratie. De architectuur van deze modellen maakt het onmogelijk om ze goedkoop te trainen op nieuwe gegevens, zelfs met de optimale apparatuur (bergen aan GPU’s) tot de beschikking. Ook genereren ze hooguit outputs. Ze zijn niet ontworpen om aan de knoppen van apps te zitten. Daarvoor is nog altijd extra werk nodig, maar de manier waarop een model verbinding maakt met data valt nu wel te standaardiseren met MCP. Als een app dus een API-endpoint kent, valt dit (zelfs automatisch) in te zetten voor een MCP-server. Het is een eerste stap richting agentic AI dat bedrijfsdata raadpleegt en op basis daarvan kan handelen. Stap 1 lijkt opgelost, waarna stap 2 kan volgen. Geen Thunderbolt 3, 4 en 5 als alles-in-één verbinding voor laptops en randapparatuur zonder eerst het USB-C-protocol te hebben bepaald, zullen we maar zeggen.
Om het anders te verwoorden, bij monde van een Anthropic-medewerker: “De essentie is: je hebt een LLM-toepassing zoals Claude Desktop. Je wilt deze laten communiceren (lezen of schrijven) met een systeem dat je hebt. MCP lost dit op.”
MCP bestaat allereerst uit een MCP-server, die in staat is bepaalde data op te lepelen. De MCP-client draait binnen een AI-applicatie en verbindt met één of meerdere MCP-servers. Een MCP-host is een AI-app, bestaande uit een LLM met agentic vaardigheden of componenten. Ten slotte is er nog de data of dienst zelf die door de combinatie van MCP-onderdelen wordt aangestuurd. Het Model Context Protocol stipuleert precies hoe elk component met elkaar contact moet leggen. Communicatie vindt plaats via SSE (HTTP) of STDIO (lokale servers).
Grote gevolgen
De communicatiewijze met AI kan dankzij MCP bijzonder intuïtief zijn. Zo hoeft er niet een tool ingesteld te worden voor het maken van een LinkedIn-post. Enkel het verschaffen van controle over de muis en het toetsenbord is nodig. Het navigeren naar Chrome, de LinkedIn-site en het creëren van een post gebeurt allemaal vanzelf. Zo is er een alternatief voor Anthropic’s eigen Claude Computer Use en OpenAI Operator waarbij de AI-modelkeuze vrij is.
De aanvankelijke adoptie vond niet direct bij Anthropic’s concurrenten plaats. Zo integreerden onafhankelijke tools zoals Cursor en Zed MCP vrij snel na de introductie ervan, maar ook bereikte het protocol gauw andere landen. In China hebben bijvoorbeeld Alibaba en Baidu MCP al omarmd. Dit maakte de adoptie voor partijen als OpenAI en Google steeds eenvoudiger om te rechtvaardigen.
Nu MCP is ingeburgerd, bevindt het zich in een soortgelijke rol als andere standaarden die inmiddels gemeengoed zijn binnen techstacks. Denk aan Kubernetes of OAuth, waarbij de oorspronkelijke bedenkers bij respectievelijk Google en Twitter zaten. Door de jaren heen is die geboorteplek irrelevant gebleken. Van een dergelijk protocol of best practice is ook sprake van ‘right time, right place’. Er móéten standaarden binnen GenAI bestaan om de beoogde wereldwijde AI-adoptie te kunnen verwezenlijken.
Kritiek
Dat MCP een probleem aanpakt, is duidelijk. Het is echter niet zo dat het de onbetwiste oplossing levert. Kritiek is er genoeg, zoals hier uitgebreid verwoord is. Eigenlijk slaan de meeste vermeende tekortkomingen van MCP op security, of beter gezegd: een gebrek daaraan. Er was geen vastgelegde specificatie voor authenticatie (later wel, maar die werd niet universeel geaccepteerd), invoer is vrijwel altijd vertrouwd en LLM’s zijn nog even feilbaar als altijd, maar nu met potentieel extreme gevolgen. Een remote code execution zou hierbij een computer volledig over kunnen nemen zonder dat er een RMM-tool vereist is. De aanvaller zou namelijk simpelweg een LLM kunnen vertellen waar het naartoe moet navigeren, welke data het moet stelen en waar het naartoe gemaild moet worden, et cetera.
MCP zal, net als Kubernetes, moeten vertrouwen op externe security. Ontwikkelaars zullen hier echter niet altijd aan denken, maar vooral benieuwd zijn naar de mogelijkheden van deze AI-tooling. Het valt bijna niet te voorkomen dat er security-incidenten gaan plaatsvinden door toedoen van MCP-adoptie doordat er geen inherente security in zit.
Dat klinkt als zwaardere kritiek dan het werkelijk is. De realiteit is dat nieuwe protocollen en standaarden zelden gelijk ‘secure by design’ zijn. Heeft het dat wel, dan maakt dat de vlugge adoptie doorgaans lastiger. Wellicht was er helemaal geen MCP-omarming geweest als Anthropic het vanaf het prille begin zo veilig mogelijk wilde maken.
MCP zelf wordt echter ook door securitypartijen omarmd. Wiz bouwde bijvoorbeeld een eigen MCP-server met volledige cloud visibility, contextuele intelligentie en een verenigde security rondom de databronnen. Het securitybedrijf is desondanks kritisch over het protocol, waarbij het alles van RCE tot prompt injections en command hijacking benoemt. Welllicht dat hier nog gespecialiseerde oplossingen voor komen.
Conclusie: anderen aan zet
Nu MCP de standaard is geworden voor GenAI-connectiviteit, is het niet alleen aan Anthropic om de vervolwassening ervan te realiseren. Dat vindt sinds de afgelopen weken in een stroomversnelling plaats. Zo wil Docker MCP productieklaar maken met alle eenvoud die het al met containers verwezenlijkt. De Docker MCP Catalog en MCP Toolkit zijn het begin van een ecosysteem rondom gecontaineriseerde MCP-toepassingen. Onder de hulptroepen noemt Docker early adopters Stripe, Elastic, Heroku, Pulumi, Grafana Labs en meer.
Het ziet ernaar uit dat de wens om MCP te gebruiken voorloopt op de werkelijke volwassenheid. Toch is de brede adoptie een teken dat we vrijwel wekelijks verbeteringen zullen zien, van veiligere systemen rondom MCP tot nieuwe use cases.
Lees ook: Solo.io introduceert MCP Gateway voor integratie van AI-agents