CEVIU Logo
Voltar

O Pesadelo de AuthN/Z no MCP

Aprofundamento CEVIU

Aprofundamento

A Doyensec não só mapeou a superfície de ataque do OAuth 2.0 em ambientes MCP, ela expôs uma falha estrutural: o registro dinâmico de clientes (DCR), essencial para escalar agentes de IA, virou um vetor de injeção em massa. Ataques como 'rug pulls' de clientes maliciosos e envenenamento de esquemas não são teóricos: já geraram CVEs reais com CVSS acima de 8,4 no Anthropic Filesystem Server e no GitHub Kanban MCP Server. O pior é que o novo modelo ID-JAG, promovido como padrão do futuro pelo IETF e apoiado por Okta, amplifica esses riscos ao eliminar o consentimento explícito e ignorar revogação imediata, o que significa que um único token ID-JAG comprometido pode desencadear cadeias de acesso entre múltiplos serviços sem limite de tempo ou escopo.

O DNS rebinding contra servidores WebSocket localhost não autenticados é outro ponto crítico subestimado: ele não depende de bugs de software, mas da confiança cega do navegador em respostas DNS. Um atacante pode redirecionar requisições do navegador para 127.0.0.1 e interagir com APIs internas não protegidas, como servidores de ferramentas MCP rodando localmente. A mitigação não é técnica, mas arquitetônica: autenticação obrigatória em todos os endpoints sensíveis, mesmo os 'internos'. E isso vale também para endpoints de descoberta OIDC, onde falhas de validação já permitiram mix-ups de IdP e SSRF em produção.

Por que isso importa

Empresas que implantam MCP não estão apenas integrando ferramentas, estão construindo uma nova camada de autorização frágil, onde LLMs atuam como intermediários não supervisionados entre identidade e recurso. Sem mTLS, sem namespacing rigoroso de escopos e sem barreiras de consentimento por ação, cada chamada de ferramenta vira um ponto de injeção potencial. Isso transforma vulnerabilidades de baixa gravidade em alavancas para movimentação lateral em infraestruturas multi-cloud. A ausência de revogação de tokens ID-JAG, por exemplo, torna irrelevante o ciclo de vida normal de credenciais: um agente com comportamento inadequado pode manter acesso indefinidamente, mesmo após detecção, porque não há mecanismo para invalidá-lo centralmente.

Perguntas frequentes

O que é 'envenenamento de ferramentas' (tool poisoning) em ambientes MCP?

É um ataque em que um agente de IA é induzido a usar ferramentas registradas de forma maliciosa via DCR, como um cliente falso que retorna dados adulterados ou executa comandos não autorizados. Não requer exploração direta de código, apenas manipulação do fluxo de autorização e confiança implícita no registro dinâmico.

Por que o ID-JAG é perigoso mesmo sendo um padrão do IETF?

Porque foi projetado para operar 'sem consentimento', delegando decisões de escopo diretamente a LLMs. Isso permite escalonamento não autorizado de permissões, colisão de namespaces entre clientes maliciosos e replay de tokens sem mecanismo de revogação, riscos documentados na própria especificação, mas não resolvidos na implementação atual.

mTLS resolve todos os problemas de autorização no MCP?

Não. O mTLS autentica quem está se conectando, mas não diz o que pode fazer. Ele protege o canal, não o conteúdo da autorização. Para isso, é necessário combinar mTLS com políticas de namespacing rigoroso, invalidação centralizada de tokens e barreiras de consentimento por ação, especialmente em chamadas de ferramentas com impacto direto em sistemas.

Qual é a diferença prática entre CVE-2025-4144 e CVE-2025-4143 no Cloudflare Workers OAuth Provider?

A CVE-2025-4144 contorna a proteção PKCE, permitindo que um atacante troque um código de autorização por token mesmo sem provar posse do estado inicial. Já a CVE-2025-4143 falha ao validar o redirect_uri, possibilitando redirecionamentos maliciosos que roubam tokens de autorização durante o fluxo OAuth, ambas corrigidas, mas mostram como erros de configuração básicos persistem em implementações MCP.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser