O Ataque Rug Pull

A especificação MCP não possui versionamento, hash de conteúdo ou snapshots no momento de aprovação, permitindo que um servidor malicioso altere silenciosamente a descrição, parâmetros e comportamento de uma ferramenta entre a aprovação do usuário e a execução pelo agente. Isso possibilita a exfiltração que plataformas de observabilidade como LangSmith e Datadog não conseguem detectar, já que registram o que foi chamado, mas não se corresponde ao autorizado. O ataque é totalmente silencioso: o nome da ferramenta e o esquema de parâmetros permanecem inalterados, e o agente recebe uma resposta normal. Logs mutáveis não fornecem evidências criptográficas do uso real dos dados, criando lacunas de conformidade com HIPAA, SOC 2 e o Artigo 12 do EU AI Act. Mitigação requer hash SHA-256 da definição completa no momento da aprovação, verificação do hash antes de cada execução e registro de cada ação em uma cadeia de hash apenas de acréscimo baseada em Merkle-tree, produzindo recibos independentes verificáveis sem confiar no framework do agente ou no servidor MCP.