Code Execution s MCP označuje agentový vzor, pri ktorom AI agent namiesto mnohých jednotlivých tool-callov píše a spúšťa kód, ktorý programovo volá MCP-nástroje v sandboxe. To citeľne znižuje spotrebu tokenov a latenciu, pretože definície nástrojov a medzivýsledky sa spracúvajú v kontexte kódu namiesto toho, aby v plnom rozsahu prešli cez kontextové okno jazykového modelu. Ide o optimalizáciu pre komplexné, dátovo náročné workflow - nie o nahradenie klasických tool-callov.

Rýchle odpovede

• Čo to je: agent generuje program, ktorý volá MCP-nástroje ako funkcie; do modelu sa vracia iba zhustený konečný výsledok.
• Na čo je dobrý: tokenová a latenčná efektívnosť pri mnohých nástrojoch, mnohých krokoch a veľkých medzivýsledkoch.
• Čo potrebuje: izolovaný sandbox, scope-limitované tokeny a least-privilege - spustiteľný kód modelu je samostatná útočná plocha.

Problém: tool-cally sa zle škálujú

Model Context Protocol (MCP) zaviedol Anthropic 25. novembra 2024 ako otvorený štandard na prepojenie AI aplikácií s externými systémami - súborové systémy, databázy, podnikové aplikácie, vývojárske nástroje. Technicky MCP stavia na JSON-RPC 2.0 cez viacero transportov: stdio pre lokálne servery, od revízie špecifikácie v apríli 2025 navyše Streamable HTTP, k tomu OAuth 2.1, JSON-RPC batching a anotácie nástrojov. K roku 2026 je MCP de facto štandardom pre komunikáciu agent-to-tool; 9. decembra 2025 Anthropic protokol daroval novozaloženej Agentic AI Foundation (AAIF) pod záštitou Linux Foundation. SDK zaznamenávajú vyše 97 miliónov mesačných stiahnutí v Pythone a TypeScripte.

V klasickom vzore agent volá každý nástroj jednotlivo. Každé volanie prechádza cez jazykový model: model vidí definíciu nástroja, sformuluje volanie, dostane späť do svojho kontextového okna úplný výsledok a rozhodne o ďalšom kroku. Pri jednoduchých úlohách je to ideálne - transparentné a dobre auditovateľné. Pri komplexných workflow však vznikajú dva žrúti tokenov:

1. Definície nástrojov v predstihu. Ak má agent k dispozícii desiatky alebo stovky MCP-nástrojov, ich popisy musia byť vopred načítané do kontextu - často tisíce tokenov ešte predtým, než agent vôbec začne pracovať.
2. Medzivýsledky v kontexte. Nástroj, ktorý vráti dlhý zoznam, veľký dokument alebo rozsiahlu API-odpoveď, ho zapisuje v plnom rozsahu do kontextového okna - aj keď agent potrebuje len tri hodnoty z neho. Pri viacstupňových reťazcoch sa to sčítava.

Riešenie: agent píše kód

Vzor Code Execution - publikovaný Anthropic na konci roka 2025 ako inžiniersky prístup - obracia logiku. Agent generuje program, typicky v Pythone alebo TypeScripte, ktorý zaobchádza s MCP-nástrojmi ako s importovateľnými funkciami. Tento kód beží v sandboxe. Filtrovanie, slučky, vetvenia a agregácie prebiehajú tam, v runtime kontexte kódu. Do kontextového okna modelu sa vracia iba zhustený konečný výsledok.

Rozdiel možno ukázať na pseudokóde.

Klasicky - mnoho tool-callov cez model:

```
LLM: zavolaj get_contacts()
-> 5 000 kontaktov (v plnom rozsahu do kontextu)
LLM: pre každý kontakt zavolaj get_last_order(id)
-> 5 000 ďalších tool-callov, každý jednotlivo cez model
LLM: filtruj tie s obratom > 10 000
-> opäť veľké objemy dát v kontexte
```

Code Execution - jeden generovaný program:

```

agentom generovaný kód spustený v sandboxe

kontakty = mcp.crm.get_contacts()
top = [k for k in kontakty
if mcp.crm.get_last_order(k.id).obrat > 10000]
return [{"name": k.name, "obrat": k.obrat} for k in top]
```

V druhom prípade model nevidí ani 5 000 kontaktov, ani 5 000 order-odpovedí. Vidí iba kód, ktorý napísal, a na konci filtrovaný zoznam. Samotné volania nástrojov prebiehajú programovo, nie ako jednotlivé LLM-kolá. To šetrí tokeny aj latenciu, pretože slučky sa vykonávajú bez roundtripov cez model.

Druhým efektom je objavovanie nástrojov podľa potreby: namiesto načítania všetkých definícií nástrojov vopred môže agent prehľadávať dostupné MCP-servery a ich funkcie ako adresár modulov a importovať iba tie skutočne potrebné. Tým zostáva réžia predstihu malá, aj keby bolo teoreticky k dispozícii stovky nástrojov.

Príklad s číslami

Zjednodušený výpočet objasňuje páku. Predpoklad: agent má z CRM zistiť top zákazníkov a obohatiť ich o objednávkové dáta. Čísla sú ilustračné a slúžia na rád veličiny, nie ako benchmark.

Rozhodujúcou položkou nie je predstih, ale medzivýsledky: spracúvajú sa v kóde a nezaberajú žiadny kontext modelu. Práve tu leží páka. Čím väčšie objemy dát a čím viac iterácií, tým výraznejší je rozdiel. Pri jednoduchom jednotlivom dopyte sa naopak výpočet obracia - réžia generovania a spúšťania programu prevyšuje úžitok.

Kedy má zmysel - a kedy nie

Code Execution je optimalizácia, nie štandardný vzor na všetko. Hodí sa k dátovo náročným, opakujúcim sa multi-tool workflow. Pre jednoduché, jednorazové akcie zostávajú priame tool-cally rýchlejšie, lacnejšie a transparentnejšie - trace ukazuje každý krok priamo, bez obchádzky cez generovaný kód.

Bezpečnosť: sandbox je povinnosť

Najväčší rozdiel oproti klasickým tool-callom je bezpečnostne relevantný: pri vzore Code Execution systém spúšťa spustiteľný kód generovaný jazykovým modelom. Je to samostatná útočná plocha. Pre MCP je k roku 2026 zdokumentovaný zámerne optimistický trust-model, ktorý stotožňuje syntaktickú správnosť so sémantickou bezpečnosťou - k tomu konkrétne triedy útokov: nepriama prompt-injection cez popisy serverov, Tool Poisoning (Invariant Labs PoC, marec 2025), look-alike server squatting a Full-Schema-Poisoning od CyberArk, pri ktorom môže byť každá časť schémy nástroja injekčným vektorom. Hardening je pritom výslovne úlohou prevádzkovateľa.

Pre Code Execution to konkrétne znamená:

• Izolovaný sandbox. Generovaný kód beží v odizolovanom runtime prostredí bez širokého súborového a sieťového prístupu, s limitmi zdrojov a času proti nekonečným slučkám a vyčerpaniu zdrojov.
• Scope-limitované tokeny. MCP-servery za OAuth 2.1 (od špecifikácie z apríla 2025) s minimálne potrebnými oprávneniami - kód dostane prístup len k tomu, čo úloha vyžaduje.
• Least-privilege a žiadna autonómna inštalácia. Agenti nesmú samostatne doťahovať alebo inštalovať MCP-servery z nedôveryhodných registrov.
• Úplné audit-logovanie. Každé volanie nástroja zo sandbox-kódu sa protokoluje. V DACH kontextoch je to zároveň compliance požiadavka, nielen inžinierska prax - end-to-end trace, pripnuté verzie modelov, korelácia cez trace ID.

Kto prevádzkuje spustiteľný kód modelu bez týchto ochranných vrstiev, vymieňa tokenovú efektívnosť za výrazné bezpečnostné a dátové riziko - v regulovaných DACH odvetviach je to no-go.

Pre agentúry a B2B rozhodovateľov

Pre DACH agentúry a produktizujúcich AI vendorov je Code Execution s MCP priamou pákou na unit economics agentických produktov. Kto prevádzkuje multi-tenant služby - napríklad SEO, newsletterové alebo rešeršné agenty -, platí za beh v tokenoch; vzor Code Execution tieto náklady pri dátovo náročných workflow merateľne znižuje a zároveň znižuje latenciu, čo zlepšuje vnímanú kvalitu produktu. Praktický vstup: existujúce MCP-založené agenty preveriť na to, ktoré workflow prechádzajú mnohými nástrojmi a veľkými medzivýsledkami, práve tie prestaviť na Code Execution - a od prvého dňa zabudovať sandbox, OAuth 2.1 scopes a audit-logovanie. Pre B2B rozhodovateľov platí: vzor je architektonickým rozhodnutím pre každý workflow, nie zmenou platformy. Stavia na aj tak etablovanom štandarde MCP a dá sa zavádzať postupne, bez zahodenia existujúcej integrácie nástrojov.