O Pesadelo de AuthN/Z no MCP

A Doyensec mapeou a superfície completa de ataque do OAuth 2.0/registro dinâmico de clientes em implantações MCP . Isso abrange envenenamento de ferramentas (tool poisoning), "rug pulls", envenenamento de esquemas (schema poisoning), prompt injection via respostas de ferramentas, command injection (CVE-2025-53100, CVE-2025-53818), manipulação de metadados de SSO (CVE-2025-4144, CVE-2025-4143), DNS rebinding contra servidores WebSocket localhost não autenticados e abuso de endpoints de descoberta OIDC.

O modelo de autorização empresarial Identity Assertion JWT Authorization Grant (JAG) proposto introduz quatro riscos não resolvidos : ausência de um caminho de revogação de tokens para agentes com comportamento inadequado, escalonamento de escopo impulsionado por LLMs sem consentimento do usuário, emissão indefinida de credenciais de cliente que permite colisão de namespace de escopo e injeção de identificadores de recurso, e replay de ID-JAG que amplifica o raio de explosão (blast radius) entre múltiplos tokens de acesso MCP. Equipes de segurança que auditam implantações MCP devem tratar cada etapa da cadeia de autorização como um ponto de injeção e priorizar ancoragens de confiança baseadas em mTLS/certificados, namespacing de recursos rigoroso, invalidação centralizada de acesso e barreiras de consentimento explícitas por ação para chamadas de ferramentas de alto risco.