Model Context Protocol se za sedmnáct měsíců proměnil z interního experimentu Anthropic v de facto standard pro propojení AI modelů s nástroji — s 97 miliony stažení SDK měsíčně a podporou všech velkých hráčů. Jenže adopce ještě není totéž co produkční zralost. Kontextová inflace, tool poisoning a naivní obalování REST API ukazují, že skutečný problém MCP není protokol sám, ale způsob, jakým ho vývojáři používají.

Problém, který MCP řeší

Každá AI aplikace, která potřebuje pracovat s externími daty nebo nástroji, stojí před klasickým integračním problémem N×M: Claude potřebuje konektor na Google Drive, Cursor na Jiru, ChatGPT na Postgres, a každá kombinace vyžaduje vlastní implementaci. Model Context Protocol tenhle problém řeší stejnou logikou, jakou v roce 2016 vyřešil Language Server Protocol pro editory — standardizovaným JSON-RPC rozhraním, které redukuje N×M na N+M.

Anthropic protokol otevřel 25. listopadu 2024. Server pracuje se třemi typy prvků: tools (akce s vedlejšími efekty), resources (data ke čtení, identifikovaná URI) a prompts (znovupoužitelné šablony). Klient se připojí přes stdio (lokální podproces) nebo Streamable HTTP (vzdálený endpoint s volitelným SSE streamem). Jeden MCP server napsaný dnes funguje beze změn v Claudovi, ChatGPT, Cursoru, VS Code Copilotu i Zedu.

Za sedmnáct měsíců od uvedení protokol přijal OpenAI (březen 2025), Google, Microsoft i Amazon. V prosinci 2025 Anthropic MCP daroval Linux Foundation pod nově vzniklou Agentic AI Foundation, kde sedí vedle Googleova A2A protokolu, Blockova frameworku goose a OpenAI konvence AGENTS.md. SDK se podle Anthropic k únoru 2026 stahuje 97 milionů krát měsíčně, oficiálně se eviduje přes deset tisíc aktivních serverů (třetí strany jako PulseMCP nebo Glama počítají dvojnásobek) a MCP Dev Summit v New Yorku na začátku dubna 2026 — první pod hlavičkou AAIF — přilákal 1 200 účastníků.

Co specifikace skutečně obsahuje

MCP nepoužívá semver. Verze jsou datové: aktuální platná specifikace je 2025-11-25, vydaná k prvnímu výročí protokolu. Předchozí stabilní verze byly 2024-11-05, 2025-03-26 a 2025-06-18. Od listopadu 2025 žádná nová verze nevyšla a roadmapa pro rok 2026 opouští datované release milníky ve prospěch prioritních oblastí řízených pracovními skupinami.

Listopadová specifikace přinesla čtyři zásadní věci. Tasks (SEP-1686) je experimentální asynchronní abstrakce — agent spustí dlouhou operaci, dostane task ID a periodicky se ptá na stav. Řeší workflow, které dřív padalo na timeoutech. Extensions framework (SEP-1724) zavádí mechanismus pro volitelná, nezávisle verzovaná rozšíření mimo jádro protokolu. Autorizace přechází na OAuth 2.1 s Client ID Metadata Documents místo bolestivé Dynamic Client Registration, povinným PKCE S256 a URL-mode elicitací, kde uživatel autorizaci dokončí v prohlížeči. A formalizuje se governance — Working Groups, Spec Enhancement Proposals, SDK tiering.

Důležité je, co v aktuální spec není. Stateless horizontální škálování Streamable HTTP za load balancery je explicitní cíl roadmapy 2026, ne hotová věc. Žádné nové transporty letos nepřibudou. Drobná změna v Implementation interfacu — nový volitelný description field pro zarovnání s formátem server.json v MCP registry — se v komunikaci Anthropic objevuje pod hlavičkou „server identity“, samotná specifikace ale žádnou takto pojmenovanou abstrakci nezavádí.

Kde MCP naráží na realitu

MCP má tři praktické problémy, které žádný marketing nevyřeší.

Kontextová inflace. Cloudflare v březnu 2026 zveřejnil, že vystavení všech 2 500 endpointů jeho API jako MCP nástrojů spotřebuje 1,17 milionu tokenů — víc, než pojme kontextové okno většiny modelů. ScaleKit na 75 běhů benchmarku (Claude Sonnet 4 proti GitHub Copilot MCP serveru) změřil, že MCP spotřebovává 4–32× více tokenů než ekvivalentní CLI. Nejjednodušší dotaz — „v jakém jazyce je tento repozitář“ — stál přes CLI 1 365 tokenů, přes MCP 44 026. Problém je systémový: GitHub MCP server vystavuje 43 nástrojů a jejich schémata se injektují do každé konverzace, i když agent použije jen jeden.

Bezpečnost. Rok 2025 přinesl sérii vážných incidentů. Invariant Labs v dubnu 2025 popsal tool poisoning — škodlivé instrukce schované v popisech nástrojů, pro uživatele neviditelné, pro LLM čitelné. CVE-2025-49596 (CVSS 9.4) v oficiálním MCP Inspectoru umožňoval vzdálené spuštění kódu přes DNS rebinding. CVE-2025-6514 (CVSS 9.6) v balíčku mcp-remote (437 tisíc stažení) byl OS command injection přes podvržené OAuth URL. V květnu 2025 pak Invariant Labs demonstroval, jak veřejný GitHub Issue s prompt injection donutil oficiální GitHub MCP server (tehdy 14 tisíc hvězd) exfiltrovat obsah soukromých repozitářů včetně osobních dat a platového ohodnocení — agent je zapsal do pull requestu ve veřejném repozitáři. Simon Willison trefně pojmenoval kombinaci „lethal trifecta“: tři schopnosti, které v jedné cestě agenta nikdy nesmí koexistovat — přístup k privátním datům, vystavení nedůvěryhodnému obsahu a možnost exfiltrace.

Naivní wrapping. Thoughtworks Technology Radar Vol. 33 z listopadu 2025 zařadil „naive API-to-MCP conversion“ do kategorie Hold — granulární REST endpointy zřetězené agentem vedou k nadměrnému využití tokenů, kontextové kontaminaci a špatnému výkonu. Justin Poehnelt, DevRel engineer v Google Workspace, v březnu 2026 tentýž problém pojmenoval ostřeji: každá vrstva mezi agentem a daty je „abstraction tax“. REST API je samo o sobě lossy projekce datového modelu, MCP přidává další vrstvu, a fidelita ztrácí na každém patře. Simon Willison to doplňuje: skoro všechno, co by mohl udělat přes MCP, zvládne CLI.

Kdo to dělá správně

Řešení existují a mají společného jmenovatele: méně nástrojů, víc abstrakce.

Block, jeden z prvních produkčních uživatelů MCP (Anthropic ho při uvedení protokolu zmiňoval společně s Apollem) a spoluzakladatel Agentic AI Foundation, vystavuje Square API (200+ endpointů) přes tři meta-nástroje: get_service_info, get_type_info a make_api_request — discovery, planning, execution. Agent si sám zjistí, že k vytvoření faktury potřebuje nejdřív vytvořit zákazníka a objednávku. Block tomu říká Layered Tool Pattern a uvádí 50–75% časové úspory — číslo z interního měření, které nelze nezávisle ověřit, ale princip je přesvědčivý.

Cloudflare zvolil radikálnější cestu. Jejich Code Mode nechává LLM psát JavaScript proti typové reprezentaci vygenerované z OpenAPI specifikace a kód běží v sandboxovaném Dynamic Workeru. Dva nástroje — search() a execute() — pokrývají celé API v zhruba tisíci tokenech. Oproti 1,17 milionu tokenů klasického MCP je to redukce o 99,9 %.

Anthropic od listopadu 2025 nabízí na Claude Developer Platform funkci Tool Search Tool — tooly označené příznakem defer_loading: true zůstávají dostupné, ale nenačítají se do kontextu, dokud si je agent nevyhledá. Podle interního měření Anthropic to znamená 85% úsporu tokenů oproti plochému seznamu při zachování plné tool knihovny. Funkce běží v API betě; do Claude Code se implementace zatím dostává a komunita si ji vyžádala jako issue v oficiálním repu.

Společný vzorec: tři task-level nástroje porazí dvě stě REST endpointů.

Minimální MCP server v deseti řádcích

Pro představu, jak MCP server vypadá v praxi — TypeScript, stdio transport, jeden nástroj:

import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js";
import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";
import { z } from "zod";

const server = new McpServer({ name: "demo", version: "1.0.0" });
server.registerTool("greet",
  { title: "Greet", inputSchema: { name: z.string() } },
  async ({ name }) => ({ content: [{ type: "text", text: `Hello ${name}` }] })
);
await server.connect(new StdioServerTransport());Code language: JavaScript (javascript)

Tenhle server funguje v Claudovi, Cursoru i VS Code. Pozor na jednu past, na kterou narazí skoro každý: ve stdio módu nikdy nepoužívat console.log() — zanáší stdout, který patří výhradně JSON-RPC zprávám.

USB-C pro AI? Spíš LSP s horší sémantikou

Metafora „USB-C pro AI“ pochází přímo z Anthropic dokumentace. USB-C je deterministické. MCP volání jsou závislá na nespolehlivém LLM, který interpretuje textové popisy nástrojů. USB-C nemá ekvivalent tool poisoningu ani abstraction tax.

Přesnější analogie je LSP pro AI — a i ta kulhá. LSP je reaktivní: uživatel píše, editor se ptá serveru. MCP je agent-driven: LLM rozhoduje, kdy a v jakém pořadí volat nástroje, a kvalita výsledku stojí na inferenci nad popisy. To je mnohem slabší sémantický kontrakt.

MCP a A2A (Agent-to-Agent, Google, od června 2025 pod Linux Foundation) přitom nejsou konkurence — MCP řeší vertikální propojení agenta s nástroji, A2A horizontální kooperaci mezi agenty. Microsoft to v Agent Frameworku 1.0 (duben 2026) respektuje explicitně: MCP pro nástroje, A2A pro kooperaci, míchání označeno jako anti-pattern.

Co s tím dělat v praxi

Vystavovat MCP server dává smysl tehdy, pokud máte službu používanou napříč nástroji — IDE, Claude, ChatGPT, Copilot — a cílíte na víc než jednoho klienta. Pro jednu aplikaci s pěti nástroji a jedním týmem je přímé function calling jednodušší. Pro CLI workflow v terminálu, kde existuje solidní gh, psql nebo kubectl, je CLI lépe reprezentované v tréninkových datech modelů, kompozabilnější a bezstavové. ScaleKit změřil, že 800tokenový dokument s tipy pro gh CLI snížil počet volání i latenci o třetinu oproti holému CLI — lepší výsledek než 28 tisíc tokenů MCP schémat.

Nepřevádějte REST endpointy jedna ku jedné. Layered Tool Pattern nebo Code Mode ukazují, že kontextová ekonomika je u MCP zásadní. Thoughtworks to řekl jasně: naivní konverze patří do Hold.

Lethal trifecta je reálný problém. Držet privátní data, nedůvěryhodný obsah a exfiltrační kanál mimo jeden agent path je disciplína, ne volba. OAuth 2.1 autorizace v MCP je zralá. Prompt injection nikoli.

MCP je dospělý protokol s dětskými chorobami ekosystému. Kdo dnes postaví MCP server promyšleně — s task-level nástroji, OAuth 2.1, audit logy a respektem ke kontextovému oknu — sází na infrastrukturu, která bude definovat AI vývoj v příštích letech. Kdo spěchá vystavit osmdesát Jira endpointů a doufá, že si agent poradí, dopadne jinak.