Architectuur & Integratie
de stekker, niet de intelligentie
Over het Model Context Protocol in gewone taal, waarom elke grote AI-partij het in vijf maanden omarmde, en wat het uitdrukkelijk niet oplost
MCP is geen slimmere AI. Het Model Context Protocol is een stekkerstandaard: een afspraak over hoe een AI-programma kan lezen en handelen in de software die je al hebt, van boekhouding tot planning. Die afspraak is in dertien maanden van een Anthropic-project uitgegroeid tot een industriestandaard onder de Linux Foundation, omarmd door OpenAI, Google en Microsoft. Dat verklaart waarom leveranciers ineens overal “agent-ready” op zetten. Maar de adoptie van de standaard zegt niets over de twee vragen die er voor jou toe doen: is jouw software er al op aangesloten, en is de koppeling die er wél is te vertrouwen? Op allebei is het eerlijke antwoord voorlopig: meestal niet, tenzij je het controleert.
In context verslaat de prompt schreef ik dat een AI zo goed is als de informatie waar hij bij kan. Dit essay gaat over de laag daaronder: de deur waardoor hij erbij komt.
wat is mcp precies?
Loodgieterswerk, en dat bedoel ik als compliment. Voor MCP had elke combinatie van AI-toepassing en softwarepakket een eigen maatwerkkoppeling nodig: tien programma’s op tien systemen is honderd koppelingen. Met MCP bouwt elk systeem één koppelvlak, een MCP-server, en kan elke AI-toepassing die de standaard spreekt daarop aansluiten: tien plus tien in plaats van tien keer tien. Via zo’n server kan een taalmodel tools aanroepen, handelingen dus, en gegevens lezen, altijd langs hetzelfde stramien.
Anthropic introduceerde het protocol op 25 november 2024 als open standaard, met kant-en-klare servers voor onder meer GitHub, Slack en Postgres (Anthropic, 2024). Ruim een jaar later, op 9 december 2025, droeg het bedrijf het beheer over aan de Agentic AI Foundation onder de Linux Foundation, medeopgericht met Block en OpenAI en gesteund door Google, Microsoft, AWS en anderen (Anthropic en Linux Foundation, 2025). Bij die overdracht meldde Anthropic zelf ruim tienduizend actieve publieke MCP-servers en meer dan 97 miljoen SDK-downloads per maand. Dat zijn cijfers van de beheerder van de standaard, dus lees ze als zelfrapportage, maar de orde van grootte past bij wat er zichtbaar gebeurde.
waarom hoor je er nu ineens overal over?
Omdat de concurrenten van de bedenker het omarmden, en snel. OpenAI kondigde op 26 maart 2025 bij monde van Sam Altman MCP-ondersteuning aan en trad toe tot de stuurgroep (TechCrunch, 2025). Twee weken later volgde Google DeepMind, met Demis Hassabis die MCP publiekelijk “een goed protocol dat hard op weg is een open standaard voor het agent-tijdperk te worden” noemde (TechCrunch, 2025). Microsoft bouwde het in Copilot Studio en zelfs in Windows 11 (Microsoft, 2025). Vier partijen die elkaar op elk ander vlak beconcurreren, kozen binnen vijf maanden dezelfde stekker. Dat gebeurt zelden, en het is het echte nieuws: niet dat AI slimmer werd, maar dat er voor het eerst één deur kwam waar iedereen doorheen wil.
Voor een bedrijf betekent die deur iets concreets. Software waarvan de handelingen via zo’n koppelvlak bereikbaar zijn, kan door mensen én door agents bediend worden, met dezelfde acties. Dat is het verschil dat ik in waarom ik een agent-native crm bouwde vanuit de bouwkant beschrijf. Maar let op het woordje kan: de standaard maakt het mogelijk, niet vanzelfsprekend.
is jouw software er al klaar voor?
Waarschijnlijk niet uit de eerste hand, en dat is een van de nuchterste bevindingen uit het onderzoek voor dit essay. Geen van de grote Nederlandse MKB-softwareleveranciers bood bij het schrijven zelf een officiële MCP-server aan. Wat er wel bestaat: wrappers van derde partijen, zoals een unified-API-leverancier die exact dezelfde MCP-schil over twaalf verschillende boekhoudpakketten legt (Apideck, 2026). Dat kan legitiem en nuttig zijn. Maar het verandert de vertrouwensvraag wezenlijk: niet “vertrouw ik mijn boekhoudpakket”, maar “vertrouw ik de tussenpartij die namens mijn agent bij mijn boekhouding mag”.
Daar komt bij dat de standaard jong is. In dertien maanden verschenen drie flinke herzieningen, waaronder een fundamentele aanscherping van de autorisatie medio 2025 en een grote update precies een jaar na lancering (WorkOS, 2025). Dat is normaal voor een jonge standaard, HTTPS en OAuth zijn ook stapsgewijs volwassen geworden, maar het betekent wel dat “MCP-ondersteuning” die vandaag wordt geclaimd, volgend jaar andere garanties kan inhouden. Vraag dus niet óf een leverancier MCP ondersteunt, maar welke versie, en wie de koppeling onderhoudt.
hoe veilig is het?
De standaard dwingt veiligheid niet af, en de metingen laten zien wat dat betekent. Een studie op bijna achtduizend live remote MCP-servers vond dat 40,55 procent geen enkele authenticatie afdwingt (arXiv, 2026). Een peer-reviewed meting op 1.899 open-source-servers vond bij 7,2 procent een serieuze kwetsbaarheid, met gelekte inloggegevens als vaakst voorkomende, en bij 5,5 procent gevoeligheid voor tool poisoning (arXiv, 2025). Interessant is waar het risico zit: de officiële referentie-servers scoorden in dat onderzoek nul gevonden kwetsbaarheden, het lange staartje van community-servers een mediaan van twee per stuk. Het probleem is niet de standaard, het is de wildgroei eromheen.
Tool poisoning verdient een uitleg in gewone taal, want het is het concreetste nieuwe risico. Elke tool die een agent kan gebruiken heeft een beschrijving die de mens nooit te zien krijgt, maar het taalmodel wel leest. Beveiligingsonderzoekers lieten in april 2025 zien dat je in die beschrijving verborgen instructies kunt stoppen die het model braaf opvolgt (Invariant Labs, 2025). In een benchmark met bewust vergiftigde tools trapte zelfs het best presterende model er in ruim twee derde van de aanvallen in, en capabelere modellen bleken juist gevoeliger, omdat de aanval hun sterke instructie-volggedrag misbruikt (MCPTox, 2025). Dat is een laboratoriumcijfer onder gerichte aanvalscondities, geen gemeten praktijkschade, maar de richting is duidelijk. Simon Willison vat het samen als de dodelijke drie-eenheid: een agent met toegang tot privédata, blootstelling aan onvertrouwde content en een kanaal naar buiten is een risico, en koppelstandaarden maken het makkelijker om die drie per ongeluk tegelijk aan te zetten (Willison, 2025). De Autoriteit Persoonsgegevens waarschuwde in februari 2026 voor precies dit risicopatroon bij autonome AI-agents met plug-ins, zonder MCP bij naam te noemen (AP, 2026). Hoe je die risico’s praktisch afdekt, permissies, scopes en logging in plaats van goede bedoelingen, staat in de vangrails.
wat vraag je voordat je een agent op je software loslaat?
Zes vragen, geen techniek voor nodig.
- Is de MCP-server van de leverancier zelf, of van een derde partij? En wie onderhoudt hem bij de volgende specversie?
- Welke rechten krijgt de agent precies: lezen, schrijven, welke onderdelen? Alles-of-niets is een rood vlag.
- Draait de koppeling met authenticatie, en waar staan de sleutels? Ruim veertig procent van de live servers dwingt niets af; vraag expliciet hoe die van jou het doet.
- Wie controleert de tools en hun beschrijvingen die het model te lezen krijgt, en wanneer is dat voor het laatst gebeurd?
- Wat wordt er gelogd van wat de agent doet, en kun je dat zelf inzien?
- Wat gebeurt er bij een fout: is de handeling omkeerbaar, en wanneer wordt een mens ingeschakeld?
De stekkerstandaard is er, en hij is serieus: gedragen door de hele industrie, bestuurd door een neutrale stichting, en in staat om software echt door agents bedienbaar te maken. Wat de standaard niet levert, is het oordeel wie er in jouw systemen mag prikken. Dat blijft een architectuur- en governancevraag, en die beantwoordt niemand voor je.
veelgestelde vragen
- Wat is het Model Context Protocol (MCP)?
- Een open standaard, eind november 2024 geïntroduceerd door Anthropic, die beschrijft hoe een AI-toepassing kan lezen en handelen in externe systemen: je boekhouding, je planning, je CRM. Zonder standaard heeft elke combinatie van AI-programma en softwarepakket een eigen maatwerkkoppeling nodig; met MCP bouwt elk systeem één koppelvlak dat elke AI-toepassing kan gebruiken. Het is dus loodgieterswerk, geen slimmere AI.
- Werkt MCP al met Nederlandse bedrijfssoftware zoals Exact of AFAS?
- Nauwelijks uit de eerste hand. Bij het schrijven van dit essay bood geen van de grote Nederlandse MKB-softwareleveranciers zelf een officiële MCP-server aan; wat er bestaat zijn koppelingen van derde partijen die de bestaande API's van zulke pakketten in een generieke MCP-schil verpakken. Dat kan prima werken, maar het is een wezenlijk andere vraag wie je dan vertrouwt met toegang tot je administratie: de leverancier zelf of een tussenpartij.
- Is MCP veilig?
- De standaard dwingt het niet af, en dat is de eerlijke kern. Onderzoek op bijna achtduizend live MCP-servers vond dat ruim veertig procent geen enkele authenticatie afdwingt, en een peer-reviewed studie op 1.899 open-source-servers vond bij 7,2 procent een serieuze kwetsbaarheid. Officiële, door de beheerder onderhouden servers scoorden in datzelfde onderzoek nul gevonden kwetsbaarheden. Veiligheid is bij MCP dus een implementatiekeuze van degene die de koppeling bouwt, geen eigenschap van het protocol.
- Wie beheert MCP?
- Sinds 9 december 2025 niet meer Anthropic alleen: het protocol is overgedragen aan de Agentic AI Foundation onder de Linux Foundation, medeopgericht door Anthropic, Block en OpenAI en gesteund door onder meer Google, Microsoft en AWS. Daarmee is MCP formeel neutrale infrastructuur geworden, vergelijkbaar met hoe eerdere basisstandaarden bij de Linux Foundation landden.