Blog
PLEN

MCP w 2026, od hype'u do dorosłej technologii z dorosłymi problemami

Rok temu Model Context Protocol miał zmienić wszystko. Dziś jest standardem, ale ekosystem ma 20 tysięcy serwerów, 92% szansę eksploitacji przy 10 wtyczkach i context bloat zjadający 70% okna. Przegląd rynku, top 15 i trendy 2026.

·6 min read
#AI#MCP#claude-code#bezpieczeństwo
MCP w 2026, od hype'u do dorosłej technologii z dorosłymi problemami

Rok temu Model Context Protocol był nowym hot takem. "MCP zmieni wszystko, agenty będą miały realny dostęp do narzędzi, koniec z papugowaniem JSON-a w prompcie." Część tego zaszła. Część zaszła zbyt szybko.

W kwietniu 2026 mamy ponad 20 000 publicznych serwerów MCP, 97 milionów instalacji w marcu, OAuth 2.1 jako standard transportowy i, równolegle, architekturalny CVE dotykający większości oficjalnych SDK, raport OWASP MCP Top 10, i konsensus, że 66% audytowanych serwerów ma findingi bezpieczeństwa. Ekosystem dojrzał. Razem z nim dojrzały problemy.

To nie jest panic post. To inwentaryzacja stanu na koniec Q1 2026, co warto instalować, czego unikać, i co realnie się zmieniło od zeszłego roku.

Oficjalne serwery, radykalne odchudzenie

Repozytorium modelcontextprotocol/servers w 2026 wygląda inaczej niż w 2025. Większość pierwotnych referencyjnych integracji została zarchiwizowana i przeniesiona do servers-archived. Steering group utrzymuje obecnie siedem pozycji:

  • Everything, testowy/referencyjny (prompts + resources + tools)
  • Fetch, pobieranie i konwersja treści webowych
  • Filesystem, operacje plikowe z ACL
  • Git, read/search/manipulate repo
  • Memory, persystentny knowledge graph
  • Sequential Thinking, strukturyzowane reasoning
  • Time, strefy czasowe i konwersje

Reszta, GitHub, GitLab, Slack, Postgres, Sentry, Brave Search, Puppeteer, została przekazana vendorom albo społeczności. To jest istotny sygnał: Anthropic świadomie nie chce być kustoszem każdej integracji. Slack utrzymuje teraz Zencoder. GitHub, sam GitHub. Brave, Brave. Anthropic siedzi na specyfikacji i registry, nie na implementacjach.

Drugą rzeczą, która się pojawiła, jest registry.modelcontextprotocol.io, metaregistry. Działa jak DNS: wymusza unikalność namespaces, ale nie hostuje kodu. Backed by Anthropic + GitHub + PulseMCP + Microsoft. Marketplaces (Smithery, Glama, mcp.so) nadal istnieją i dystrybuują serwery, registry tylko anchoruje "kto jest kim".

Top 15, które realnie warto znać

Po cross-referenceie kilku list (k2view, skyvia, obot, n8n) ten zbiór się powtarza:

1.  Playwright MCP (Microsoft)       , browser automation, accessibility tree
2.  Chrome DevTools MCP (Google)     , debug, perf, network
3.  GitHub MCP (oficjalny)           , repo, issues, PR, Actions
4.  Supabase MCP                     , Postgres + edge functions + schema
5.  Stripe MCP (oficjalny)           , payments
6.  Sentry MCP (oficjalny)           , error tracking
7.  Notion MCP                       , pages, databases, tasks jako kontekst
8.  Slack MCP (Zencoder)             , 47 narzędzi, search/post/workflows
9.  HubSpot MCP                      , CRM
10. Salesforce MCP Connector
11. Jira MCP                         , tickets
12. Docker Hub MCP
13. Cloudflare MCP                   , Workers, D1, R2, KV
14. Vectara / K2view                 , enterprise RAG, multi-source
15. Browserbase + Browser Use        , chmurowe browsery dla agentów

Z tego praktycznie u mnie codziennie pracują Playwright (testy UI, screenshoty bloga który właśnie czytasz), Cloudflare (deploy, tunele, DNS), GitHub (review, PR-y) i Home Assistant MCP dla smart home. Reszta wisi tylko gdy są potrzebne, bo każdy włączony serwer kosztuje tokeny.

Co dojrzało, co jest cienkie

Kategorie nasycone, masz z czego wybierać:

  • Browser automation (Playwright, Chrome DevTools, Browserbase, Browser Use)
  • Dev tools / VCS (GitHub, GitLab, Git, Sentry)
  • Bazy danych (Supabase, Postgres-vendorowe, SQLite, Redis, MongoDB, Vectara)
  • Productivity / SaaS (Notion, Slack, Linear, Jira, Asana)
  • DevOps (k8s, Docker, Terraform, observability)
  • Cloud (AWS, GCP, Cloudflare, Azure)

Kategorie cienkie, wciąż dziura na rynku:

  • Search, poza Brave, Exa, Perplexity reszta to fragmenty
  • AI/ML toolchain, niewiele dobrych serwerów do MLflow, W&B, Hugging Face
  • Hardware/IoT, Home Assistant MCP istnieje, ale ekosystem jest pusty
  • Compliance, audit, legal, praktycznie zero
  • Vertical (medical, legal, finance), wczesne, dużo zabawek

Jak ktoś szuka tematu na produkt, patrzeć na cienkie kategorie. Nasycone już mają swoich winnerów.

Trendy, które realnie zaszły w 2026

Streamable HTTP transport wyparł stdio dla zdalnych deploymentów. FastMCP 3.0 (luty 2026) ma ponad 100k pobrań. Kosztem są stateful sessions vs. load balancery, każdy hostuje workaroundy, brak standardu.

OAuth 2.1 został przyjęty jako spec w czerwcu 2025. W kwietniu 2026 tysiące serwerów w produkcji nadal nie ma authn. Tu jest większość długu.

Tool Search + Programmatic Tool Calling trafiły do GA w Claude Code w lutym 2026. To leniwe ładowanie definicji narzędzi, zamiast trzymać 67k tokenów schemy w każdym prompcie, agent ładuje tylko to, co użyje. Anthropic raportuje 46.9% redukcję tokenów, do 85% w testach syntetycznych. Jeśli używasz Claude Code z 4+ MCP serwerami, włącz to, no-brainer.

Roadmap Q2 2026 to transport scalability, agent-to-agent, governance, enterprise readiness. Nowy spec wychodzi w czerwcu 2026.

Przeciwnurt, post Mario Zechnera "What if you don't need MCP at all?" zrobił hałas pod koniec 2025. Argument: bash + skrypty + plain HTTP często wystarczą, MCP jest formalizmem dla rzeczy które agent i tak rozwiąże ad hoc. Zgadzam się w 60%. Dla rzeczy z stanem (browser, Slack, baza) MCP wygrywa. Dla "zawołaj REST API i sparsuj JSON", overhead.

Pułapki produkcyjne

To jest sekcja, w której robi się nieciekawie.

Token bloat. Konkretne case study: 4 włączone serwery = 67k tokenów przed pierwszym promptem. Inny: 3 serwery zjadły 143k z okna 200k, 72% kontekstu na same opisy narzędzi. Dlatego Tool Search.

Bezpieczeństwo to JEST kryzys. Architectural CVE w oficjalnym SDK (Python/TS/Java/Rust), ponad 150M downloads exposed, 200k+ publicznych serwerów potencjalnie podatnych, ponad 10 CVE.

Statystyki które warto znać:
- 66% audytowanych MCP serwerów ma security findings
- 92% prawdopodobieństwo eksploitacji przy 10 zainstalowanych pluginach
- 72% serwerów eksponuje sensitive capabilities (code exec, FS, privileged APIs)
- 13% przyjmuje untrusted input
- Przecięcie obu (9%) = direct prompt-injection path

OWASP wypuścił już MCP Top 10. Najbardziej dotkliwe: tool poisoning (opisy narzędzi mogą zawierać złośliwe instrukcje, które agent czyta jako część systemu), credentials w plaintext, version drift między server a cache agenta.

Quality floor. Z 20 000 serwerów w registry, jak zauważa popularaitools, większość to "toys, abandoned experiments, or security risks". To nie jest cytat ode mnie, to dosłowny opis stanu rynku.

Praktyczne rekomendacje

Krótko, bo to jest sedno:

  1. Instaluj mniej. Każdy włączony serwer to tokeny, attack surface i jeden więcej rzecz do auditowania. Mam 6 stałych, reszta on-demand.

  2. Preferuj oficjalne / vendor-maintained. GitHub od GitHuba, Stripe od Stripe'a, Cloudflare od Cloudflare'a. To nie kwestia jakości, to kwestia odpowiedzialności za bezpieczeństwo.

  3. Włącz Tool Search. W Claude Code 2026 to flaga, którą się tylko ustawia. 47% mniej tokenów na deser.

  4. Audytuj przed claude mcp add. Sprawdź, kto utrzymuje, czy ma OAuth 2.1, czy nie wymaga ekspozycji credentials w plain tekście. Jeśli serwer chce twojego API key w env i nie szyfruje cache, odrzuć.

  5. Nie instaluj community-server "bo brzmi cool". 9% community serwerów ma direct prompt-injection path. Twoje credentials w sesji Claude'a, którego pytasz "co dziś w newsach" mogą zostać exfiltrowane przez tool description, którego nigdy nie czytałeś.

Wnioski

MCP w 2026 to dorosła technologia. To znaczy: ma realne use case'y, ma standardy (transport, auth, registry), ma trakcję w enterprise. Razem z tym ma dorosłe problemy, security debt, fragmentację, quality floor i context bloat.

Dla developerów-konsultantów, i mnie też, to dobra wiadomość. Dorosłe technologie są przewidywalne. Wiesz, co wybrać, wiesz, czego unikać, wiesz, gdzie czytać CVE. To dużo lepsza pozycja niż rok temu, gdy każdy serwer był eksperymentem i każdy update mógł zburzyć agenta.

Najwięksi przegrani to ci, którzy wciąż liczą, że MCP samo coś za nich rozwiąże. Najwięksi wygrani to ci, którzy traktują to jak każdą inną zależność produkcyjną, z wersjonowaniem, audytem i żelaznym minimalizmem.

Mniej, lepiej, audytowane.