Escaneamos 1.808 Servidores MCP: 66% Apresentam Falhas de Segurança
Aprofundamento CEVIU
Aprofundamento
O Model Context Protocol (MCP) não é só mais uma camada de integração, é uma nova superfície de ataque em escala industrial. Lançado pela Anthropic em novembro de 2024, o padrão foi adotado em massa sem mecanismos obrigatórios de autenticação, confiança implícita e controle de escopo. O escaneamento de 1.808 servidores não é um alerta genérico: é a primeira medição quantitativa de uma falha estrutural. Dos 66% com vulnerabilidades, 53% usam chaves de API estáticas, 88% exigem credenciais, e quase nenhum aplica rotação automática ou RBAC granular. A injeção indireta de prompt já causou exfiltração em produção no Microsoft 365 Copilot (CVE-2025-32711), e ataques de zero-clique via Google Docs em ambientes Cursor foram replicados por times vermelhos da Lakera AI em setembro de 2025. Isso não é teoria: é infraestrutura comprometida hoje.
Os vetores mais perigosos estão escondidos na arquitetura do próprio MCP. Ferramentas como whatsapp-mcp foram usadas para redirecionar mensagens em abril de 2025. Pacotes npm maliciosos, como o mcp-remote (CVE-2025-6514), tiveram 437 mil downloads antes da correção. E servidores 'sombra', instalados por desenvolvedores sem aprovação de TI, são tão comuns que nove de onze mercados de MCP testados pela OX Security estavam envenenados. O MCP Security Registry, lançado em setembro de 2025, é um passo, mas ainda depende de DNS para validação e não escaneia código, apenas metadados.
Por que isso importa
Agentes de IA deixaram de ser assistentes e viraram identidades privilegiadas com acesso direto a APIs, repositórios, e-mails e sistemas de produtividade. Um único servidor MCP mal configurado pode permitir RCE via IDE, exfiltração de dados sensíveis via prompt injection ou contaminação da cadeia de suprimentos por pacotes falsos. A DTEX mostrou em junho de 2026 que agentes como o Claude Cowork aumentam riscos internos justamente por falta de auditoria de prompts e controle de escopo. Para equipes de segurança, ignorar o MCP é como deixar portas abertas em todos os microserviços, só que agora cada porta fala inglês, entende intenções e executa comandos sem pedir confirmação.
Perguntas frequentes
O que é MCP01, MCP06 mencionado na notícia?
São as seis primeiras categorias do OWASP MCP Top 10, um guia em fase beta que classifica falhas críticas em servidores MCP. MCP01 trata de exposição de segredos, MCP03 de envenenamento de ferramentas, MCP04 de ataques à cadeia de suprimentos, MCP06 de subversão de intenções e assim por diante. Não são códigos de erro, mas rótulos para classes de ameaças já exploradas em produção.
Por que o MCP não tem autenticação obrigatória desde o início?
A especificação original foi projetada para simplicidade e interoperabilidade entre agentes e ferramentas, não para segurança em ambientes corporativos. A Anthropic priorizou a capacidade funcional sobre controles de acesso, assumindo que implementadores adicionariam camadas próprias, o que, na prática, raramente aconteceu. Isso gerou uma lacuna crítica de design.
O que é 'fluxo de dados tóxico' e como ele difere de uma injeção de prompt comum?
É um cenário mais complexo: ocorre quando um agente processa simultaneamente dados não confiáveis (como um e-mail malicioso), instruções sensíveis (como 'envie tudo para o CEO') e um canal de saída (como um webhook). A injeção comum manipula o prompt diretamente; o fluxo tóxico explora a combinação de três elementos, e é detectável apenas com análise de contexto, não com filtros de texto.
O MCP Security Registry resolve esses problemas?
Não resolve, apenas ajuda a identificar servidores legítimos. Ele verifica namespace via DNS, mas não analisa código, não escaneia pacotes nem valida configurações. É como ter uma lista de endereços oficiais de bancos, mas sem checar se cada agência tem câmeras ou cofres. Firewalls especializados, como o JFrog MCP Registry, são necessários para aplicar RBAC e bloquear pacotes não aprovados.
Fontes
- agentseal.orgfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de março de 2026
- Editoria
- CEVIU Segurança da Informação
