Sua IA está em conformidade? Registre-se Hoje

Indústria

Anatomia de uma Ameaça Moderna: Desvendando a Vulnerabilidade MCP do Figma

October 9, 2025

Eric Schwake
Head of Product Marketing

Investigadores de ameaças divulgaram recentemente uma vulnerabilidade grave num servidor Figma Model Context Protocol (MCP), conforme relatado por The Hacker News. Embora a correção específica seja importante, a descoberta em si serve como um alerta crítico para todas as organizações que se apressam em adotar a IA. Este incidente fornece um modelo para uma nova classe de ataques que visam a própria infraestrutura que alimenta a Economia de Agentes de IA.

Para entender o risco, devemos primeiro analisar a mecânica desta ameaça emergente.

O que é MCP e Por que é um Alvo?

À medida que as empresas integram agentes de IA, elas exigem um meio para que esses sistemas autónomos se comuniquem com as aplicações existentes. O Model Context Protocol (MCP) é um novo protocolo projetado para esse fim, permitindo que um agente de IA interaja com ferramentas como o Figma para realizar tarefas como criar designs, modificar componentes, exportar ativos e muito mais.

Embora poderosos, esses servidores MCP criam novos caminhos, muitas vezes não monitorizados, para aplicações corporativas sensíveis. Um atacante que consegue comprometer este canal não está apenas a contornar uma firewall; está efetivamente a personificar um agente de IA confiável para manipular uma aplicação a partir do interior.

Confira nosso eBook: O Guia do Comprador de Segurança Agêntica

Anatomia do Ataque: Abusando do Canal da API

A vulnerabilidade permitiu um exploit prático que abusou da funcionalidade pretendida da API. A cadeia de exploit seguiu um padrão que alavancou o canal da API em cada etapa para transformar um recurso legítimo numa arma.

  1. Uma Função Específica da API Foi Alvo: A vulnerabilidade foi identificada numa função da API dentro do servidor MCP, que foi projetada especificamente para agentes de IA recuperarem dados. Este é um exemplo perfeito de um novo endpoint de API especializado criado para integração de IA que pode carecer da supervisão de segurança madura de sistemas legados.
  2. Um Comando Foi Injetado num Parâmetro da API: O vetor de ataque envolveu a injeção de um comando OS malicioso num parâmetro específico da API. Ao passar o comando dentro de um campo de dados que a função da API esperava, como um que especifica um arquivo ou ID de recurso, o payload malicioso foi entregue de uma forma que poderia contornar as verificações de segurança iniciais.
  3. Validação de Entrada Falha Foi Explorada: A causa raiz da vulnerabilidade foi uma falha clássica de injeção de comando resultante de uma falha na validação de entrada. O código de backend da aplicação recebeu os dados diretamente do parâmetro da API e os executou como parte de um comando shell sem antes sanitizá-los. Essa falha crítica permitiu que um invasor alcançasse a Execução Remota de Código (RCE), obtendo assim o controle sobre o servidor.
  4. O Canal de IA Poderia Ser Usado para Causar Impacto: Com a RCE confirmada, este canal comprometido de IA para aplicação poderia ser usado para uma vasta gama de atividades maliciosas. Um invasor poderia exfiltrar dados sensíveis, manipular arquivos do sistema ou usar o servidor como uma base de ataque para se aprofundar na rede corporativa, tudo isso enquanto parecia tráfego legítimo de um agente de IA.

IA: Um Amplificador de Risco Invisível

Esta vulnerabilidade é a manifestação tangível das exatas preocupações que as equipes de segurança e desenvolvimento têm sobre a IA. Nosso mais recente relatório Estado da Segurança de API de 2025 revelou que uma clara maioria das organizações (56%) agora veem a IA Generativa como uma preocupação crescente de segurança.

As razões para isso estão diretamente relacionadas a incidentes como este:

  • A principal preocupação citada pelos entrevistados foi a falta de controle sobre a segurança dos modelos de IA usados para geração de código (56%). Um servidor MCP é um excelente exemplo de um novo componente, muitas vezes mal compreendido, introduzido pela integração de IA.
  • A segunda maior preocupação foi a dificuldade em compreender e proteger o código gerado por IA em si (47%).

Apesar desses receios, o impulso pela inovação é implacável. 62% das organizações já adotaram a GenAI para parte ou a totalidade do seu desenvolvimento de API. Isso cria uma lacuna perigosa entre a velocidade de adoção e a maturidade das práticas de segurança. Sem surpresa, isso deixa as equipes de segurança sentindo-se despreparadas. O relatório constatou que apenas 15% estão "muito confiantes" em sua capacidade de detectar e responder a ataques que exploram a IA.

Preparando-se para a Próxima Onda de Ameaças Impulsionadas por IA

Esta vulnerabilidade não é um incidente isolado; é uma prévia do que está por vir. À medida que a adoção de agentes de IA cresce, ataques contra as APIs e protocolos que os conectam se tornarão mais comuns.

Proteger-se contra esta nova ameaça requer uma abordagem específica. Na Salt Security, nossa plataforma fornece o contexto aprofundado necessário para proteger sua transformação de IA, ao entregar visibilidade completa em todo o tráfego de API, incluindo novos canais de agentes de IA e MCP. Ajudamos você a melhorar proativamente sua postura de segurança ao identificar os mesmos tipos de configurações incorretas e vulnerabilidades exploradas neste ataque. Mais importante ainda, nossa solução impulsionada por IA de proteção contra ameaças comportamentais linha de base normaliza a atividade de seus agentes de IA para identificar e bloquear ataques sofisticados em tempo real, permitindo que você inove com IA de forma segura.

Se você quiser saber mais sobre a Salt e como podemos ajudá-lo, por favor entre em contato conosco, agende uma demonstração, ou visite nosso site. Você também pode obter uma Avaliação Gratuita da Superfície de Ataque de API da equipe de pesquisa da Salt Security e descubra o que os invasores já sabem.

Blog da Salt Security

Assine a Newsletter da Salt para receber os recursos e posts de blog mais recentes.

Nossas últimas publicações