Model Context Protocol (MCP)

Čo je Model Context Protocol (MCP)?

Model Context Protocol (MCP) je otvorený štandard, ktorý spája AI Agents a AI aplikácie s externými systémami — súborovými systémami, databázami, business systémami a developer tools. Anthropic zaviedol MCP 25. novembra 2024; autormi boli David Soria Parra a Justin Spahr-Summers. Cieľ: jednotné rozhranie medzi jazykovým modelom a svetom tools a dát, aby každý agentický projekt nemusel nanovo vymýšľať svoje napojenie na tools.

Centrálnu konceptuálnu úlohu MCP možno zhrnúť do jednej vety: MCP je v roku 2026 fundamentálny protokol pre Agent-zu-Tool. Agent — chápaný ako LLM, ktorý v slučke autonómne využíva tools — potrebuje štandardizovaný spôsob, ako volať funkcie, dopytovať dáta a spúšťať akcie v externých systémoch. Práve túto vrstvu MCP štandardizuje. Oficiálne a medzičasom v celom odvetví zdieľané vymedzenie znie: MCP je pre Capabilities (Agent-zu-Tool), A2A je pre Collaboration (Agent-zu-Agent). Túto formuláciu používajú Google, Salesforce a Microsoft zhodne.

Technická architektúra

MCP je postavený na JSON-RPC 2.0 cez viacero transportov:

• stdio pre lokálne spojenia,
• pôvodne Server-Sent Events, od revízie špecifikácie z apríla 2025 dodatočne Streamable HTTP.

Revízia z apríla 2025 priniesla nad rámec transportu tri zásadné novinky: podporu OAuth 2.1, JSON-RPC batching a Tool-Annotations. Vydanie špecifikácie z novembra 2025 doplnilo asynchrónne operácie, statelessness, identitu servera a oficiálne extensions. Začiatkom roka 2026 MCP Apps (SEP-1865) štandardizovali doručovanie interaktívneho UI z MCP serverov do host aplikácií, ako sú Claude a ChatGPT.

Architektonicky MCP rozlišuje medzi host aplikáciou (napr. Claude, agent Copilot Studio), klientom a MCP serverom. MCP server zapuzdruje napojenie na konkrétny externý systém a sprístupňuje jeho schopnosti vo forme tools. Z pohľadu agenta tým každý zdroj dát a každý cieľový systém vyzerá rovnako — ako zoznam jasne opísaných tools so schémou, ktoré môže agent volať.

Prakticky relevantný vedľajší efekt: MCP sa čoraz viac používa aj agent-zu-agent tým, že iný agent je exponovaný ako MCP „server“ s capabilities vo forme tools. Funguje to, ale nie je to to, na čo bol MCP navrhnutý. Anthropic, Google a Microsoft konzistentne odporúčajú používať na skutočnú peer kolaboráciu A2A a MCP obmedziť na vrstvu tools.

Governance: Linux Foundation a Agentic AI Foundation (AAIF)

Najdôležitejší governance krok prišiel 9. decembra 2025: Anthropic daroval MCP novozaloženej nadácii Agentic AI Foundation (AAIF) — Directed Fund pod Linux Foundation. AAIF spoluzaložili Anthropic, Block a OpenAI, s Platinum podporou od Amazon Web Services, Bloomberg, Cloudflare, Google a Microsoft.

Medzi ďalších Gold/Silver členov patria okrem iného Adyen, Cisco, Datadog, Docker, IBM, JetBrains, Okta, Oracle, SAP, Snowflake, Twilio, Hugging Face, Pydantic, Uber a SUSE — teda prakticky celý agentic-AI stack. MCP vstúpil do AAIF spoločne s goose od Block a AGENTS.md od OpenAI.

Dôležité pre zaradenie: technická každodenná governance zostáva u existujúcich MCP maintainerov. AAIF Governing Board zodpovedá za strategické investície a recruiting členov. Krok pod Linux Foundation je tým štrukturálne najsilnejším dostupným signálom proti fragmentácii do proprietárnych vendor variantov — aj keď, ako sám Cisco poznamenal v decembri 2025, jednotlivé protokolové projekty čiastočne ešte „operujú ako ostrovy“.

Adopcia 2025/2026

Rozšírenie MCP prebiehalo v roku 2025 explozívne:

• OpenAI prevzal MCP oficiálne v marci 2025.
• Google DeepMind nasledoval v apríli 2025 (tweetom od Demisa Hassabisa).
• V tom istom časovom okne integrovali MCP Microsoft Copilot Studio, Cursor, Zed, Windsurf, Replit, Sourcegraph, Block, Apollo a desiatky ďalších.
• Claude od Anthropic ponúka directory s vyše 75 oficiálnymi MCP konektormi.
• SDK zaznamenávajú vyše 97 mil. mesačných sťahovaní naprieč Pythonom a TypeScriptom.

MCP tým nie je nišovým štandardom, ale de facto univerzálne akceptovanou vrstvou tools naprieč Anthropic, OpenAI, Google, Microsoft, AWS, SAP, Salesforce, ServiceNow, IBM a Cisco.

MCP v konvergentnom protokolovom stacku

Po dvanástich mesiacoch verejného preorientovania je konvergentný stack pre rok 2026 jednoznačný. MCP v ňom obsadzuje vrstvu tools, A2A vrstvu agent-zu-agent:

Pozoruhodné: aj AGNTCY (Cisco/LangChain/Galileo, darovaný Linux Foundation 29. júla 2025) stavia na MCP namiesto toho, aby ho nahrádzal — A2A agenti a MCP servery sú dohľadateľní cez AGNTCY directories. Úprimné hodnotenie znie: MCP + A2A je konvergentný priemyselný stack. AGNTCY je vrstvou identity/observability tam, kde je potrebná; NANDA zostáva konceptuálny.

Security: optimistický trust model

MCP je správnym enablerom agentického ekosystému, no jeho v jadre optimistický trust model nie je správnym základom dôvery. V roku 2025 bolo zdokumentovaných niekoľko tried útokov:

• Indirect Prompt Injection cez popisy MCP serverov.
• Tool Poisoning — WhatsApp proof-of-concept od Invariant Labs (marec 2025).
• Look-alike Server Squatting — falošné servery, ktoré imitujú pravé.
• Full-Schema Poisoning (CyberArk) — každá časť schémy toolu je potenciálnym injection bodom, nielen popis.
• GitHub-MCP integrácia „Toxic Agent Flow“ — škodlivý GitHub issue prinúti agenta leaknúť dáta zo súkromných repos.

Tieto riziká sa zostrujú v multi-agent architektúrach: každé čerstvé kontextové okno sub-agenta je novou útočnou plochou. Trieda EchoLeak zero-click prompt-injection exploitov (CVE-2025-32711, Microsoft 365 Copilot, zverejnená v júni 2025 spoločnosťou Aim Labs) bola single-agent útokom — základné chyby trust boundary však škálujú lineárne s počtom agentov, ktorí prijímajú nedôveryhodný obsah.

Mitigácia je v roku 2026 zodpovednosťou deployera: Sandboxing, OAuth-2.1 tokeny s obmedzeným rozsahom (podľa špecifikácie z apríla 2025), Least-Privilege a — ako pravidlo palca — nikdy nenechať agenta autonómne inštalovať MCP servery z nedôveryhodných registries. Či to pri veľkom škálovaní postačuje, je otvorenou otázkou, ktorá v roku 2026 ešte nie je definitívne zodpovedaná.

DACH relevancia

Pre DACH región je relevancia MCP veľmi vysoká — prakticky nevyhnutná. Kto v roku 2026 spúšťa agentický projekt v stredne veľkej firme alebo koncerne, píše alebo konzumuje MCP servery, či už plánovane alebo nie.

• SAP Joule Studio 2.0 (Sapphire 2026) integruje MCP natívne, vrátane MCP servera pre ABAP, LeanIX a Integration Suite. Keďže SAP base v DACH prevyšuje každú inú platformu, je toto prakticky najdôležitejším vstupným bodom MCP v regióne. Rozhodnutie SAP zabudovať Anthropic Claude ako primárny reasoning model v prostredí spravovanom SAP je práve pre BFSI a Health deployerov často rozhodujúcou obstarávacou možnosťou.
• Microsoft 365 Copilot, Copilot Studio, Salesforce Agentforce, n8n, LangGraph, Mastra a PydanticAI hovoria všetky MCP. Vlastná multi-agent smernica Microsoftu je explicitná: „Use MCP for tool and data access. Use Linux Foundation A2A for cross-platform agent-to-agent messaging.“
• n8n — nemecká, MCP-natívna open-core firma z Berlína — získala v roku 2026 dodatočne na význame, keď SAP oznámil zabudované n8n v Joule Studio (ocenenie sa zdvojnásobilo na 5,2 mld. USD).

Compliance poznámky (informatívne, nie právne poradenstvo)

Akonáhle agenti cez MCP a A2A hopy prekračujú hranice viacerých compute providerov, dátovej rezidencie a spracovateľov, stáva sa každý prevádzkovateľ MCP servera potenciálne sub-procesorom v zmysle GDPR. To predlžuje reťazec ZSU (čl. 28 GDPR) a robí ho komplexnejším. Pri cezhraničných krokoch sa navyše uplatňujú čl. 44–49 GDPR; EU–US Data Privacy Framework zostáva v roku 2026 v platnosti, no je predmetom právneho napadnutia, preto štandardné zmluvné doložky (SCCs) a transfer-impact-assessments naďalej platia ako zabezpečenie. Tieto poznámky sú informatívne a nenahrádzajú právne poradenstvo; uvedené zaradenia sú podľa súčasného stavu provizórne a treba ich preskúmať podľa sektora (BFSI, Health, energetika). Pre prax sa odporúča urobiť MCP tool calls auditovateľné: propagovať korelačné ID cez každý MCP call a pinnúť verzie modelov v produkcii.

Výhľad a praktická poznámka

MCP sa v roku 2026 etabloval ako štandardná vrstva tools agentic stacku a je pod Linux Foundation štrukturálne zabezpečený proti fragmentácii. Pre DACH projekt znie racionálne default odporúčanie: MCP pre tools, A2A pre agentov — všetko ostatné je vedomým odklonom od konvergentného stacku a vyžaduje zdôvodnenie.

Tri konkrétne praktické poznámky pre vstup: Po prvé, používať štandardné MCP servery vendorov a vlastné MCP servery písať len pre proprietárne interné API — nestavať viac agentov a serverov, než problém vyžaduje. Po druhé, prevádzkovať MCP servery za OAuth 2.1 s least-privilege scopes a nikdy nepovoliť autonómnu inštaláciu serverov z neznámych registries. Po tretie, od prvého dňa zabudovať do topológie observability a auditovateľnosť — trieda EchoLeak ukazuje, že každé dodatočné napojenie toolu a agenta zväčšuje útočnú plochu. Otvorenou zostáva v roku 2026 otázka, od kedy optimistický trust model MCP pri veľkom škálovaní vytvára viac bezpečnostného rizika než úžitku — bod pre watchlist každého zodpovedného architektonického review.