Что это даёт ИИ
ИИ получает контролируемый доступ к локальным файлам: читать, создавать, редактировать, перемещать, искать по содержимому и обходить дерево директорий — но строго внутри явно разрешённых папок. Это «руки» к диску с жёсткой песочницей: всё за пределами whitelisted-директорий недоступно.
Пример: «Пройди по ~/projects/site/content, найди все .md без заголовка H1 и добавь его по имени файла» — ИИ обойдёт только эту папку и внесёт правки.
Подключение (точные шаги)
Claude Code
Разрешённые директории передаются позиционными аргументами после имени пакета:
claude mcp add filesystem -- npx -y @modelcontextprotocol/server-filesystem \
/Users/you/projects /Users/you/Desktop
Cursor / Claude Desktop
{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": [
"-y",
"@modelcontextprotocol/server-filesystem",
"/Users/you/projects",
"/Users/you/Desktop"
]
}
}
}
Нужна хотя бы одна разрешённая директория. Клиенты с поддержкой MCP Roots могут менять список папок на лету (через roots/list_changed) без перезапуска сервера — это рекомендуемый способ.
Пример использования
Скажи: «Собери все TODO-комментарии из /Users/you/projects/app/src в один файл TODO.md» → ИИ прочитает дерево, выберет совпадения и создаст файл — не выходя за пределы разрешённой папки.
Безопасность
- Главный принцип — узкий whitelist: перечисляй только те папки, что реально нужны задаче. Никогда не открывай
/или весь$HOME— иначе ИИ получит доступ к ключам, конфигам, истории. - Официальная гарантия: «все файловые операции ограничены разрешёнными директориями» — выход за их пределы блокируется сервером.
- Supply-chain: референс-сервер из репозитория
modelcontextprotocol/servers(★86.6k) — первоисточник протокола, наиболее доверенный.
Подводные камни
- Дашь широкую папку — получишь риск: ИИ сможет прочитать/перезаписать лишнее. Гранулярность решает.
- Запись реальная: ИИ может перезаписать или удалить файл. На важных каталогах держите git/бэкап.
- На больших деревьях операции поиска/обхода тяжёлые — ограничивайте область конкретной подпапкой.