Na semana passada, investigadores da OX Security publicaram descobertas que deveriam alertar todos os líderes de segurança. Eles descobriram uma vulnerabilidade crítica incorporada diretamente no SDK do Protocolo de Contexto de Modelo da Anthropic, afetando todas as linguagens suportadas: Python, TypeScript, Java e Rust. O resultado: execução remota de código em qualquer sistema que execute uma implementação MCP vulnerável, com acesso direto a dados sensíveis do utilizador, bases de dados internas, chaves de API e históricos de chat.
Mais de 7.000 servidores publicamente acessíveis. Mais de 150 milhões de downloads. Dez CVEs abrangendo LiteLLM, LangChain, LangFlow, Flowise e outros.
Isto não é um único bug que alguém se esqueceu de corrigir. Esta é uma decisão de design que se propagou silenciosamente para todas as bibliotecas dependentes e para todos os projetos que confiaram no protocolo. A Anthropic analisou as descobertas e classificou o comportamento como "esperado".
Pense bem nisto e imagine o seguinte:
Um programador na sua empresa configura um agente baseado em LangChain e conecta-o a um servidor MCP interno que tem acesso à sua base de dados de clientes. O agente está a funcionar como esperado: respondendo a consultas, recuperando registos, fazendo o seu trabalho. Agora, um atacante envia um prompt cuidadosamente elaborado através da sua interface pública. Esse prompt manipula a configuração do MCP através do que os investigadores chamam de injeção de prompt de zero-clique, redirecionando silenciosamente a interface STDIO para executar um comando arbitrário do sistema operativo no servidor. Em segundos, o atacante tem as suas credenciais de base de dados, as suas chaves de API internas e um shell ativo na máquina que executa o seu fluxo de trabalho de agentes. Nenhuma autenticação necessária. Nenhum alerta disparado. O seu SIEM nunca o detetou porque a ação ocorreu na camada MCP, que ninguém estava a monitorizar.
Há meses que dizemos que os servidores MCP são a camada não monitorizada mais perigosa na sua infraestrutura de agentes. Isto prova-o.
O problema não é o modelo. Nunca foi.
Quando a maioria das pessoas pensa em segurança de IA, pensa no próprio LLM. Injeção de prompt. Jailbreaks. Segurança do modelo. Essas são preocupações reais, mas não é aí que reside a sua maior exposição num ambiente de agentes em produção.
Os seus agentes não pensam apenas. Eles agem. Eles usam servidores MCP para se conectar aos seus sistemas internos, bases de dados, APIs e aplicações SaaS. O MCP são as mãos da sua infraestrutura de agentes. E, neste momento, para a maioria das organizações, essas mãos são completamente invisíveis para a sua equipa de segurança.
Uma decisão arquitetónica, tomada uma vez, abre a porta à execução remota de código em toda a sua pilha de agentes. Não porque alguém escreveu código mau. Porque o próprio protocolo nunca foi concebido com a segurança como um princípio fundamental.
Este é um problema de cadeia de suprimentos, não um problema de correção.
Alguns dos fornecedores afetados emitiram correções. A maioria não. A Anthropic recusou-se a alterar a arquitetura subjacente. Isso significa que cada programador que herda código MCP herda o risco, quer saiba ou não.
Este é o padrão que temos visto na segurança de APIs há anos. A vulnerabilidade não está num só lugar. É estrutural. Ela reside nas relações de confiança entre componentes, nas configurações padrão que ninguém questiona, nas interfaces que ninguém monitoriza. A única forma de a resolver é com visibilidade em toda a superfície de ataque, não apenas com correções pontuais em CVEs individuais.
O que precisa de fazer agora.
Se a sua organização está a implementar agentes de IA, precisa de respostas para três perguntas hoje:
- Que servidores MCP estão a ser executados no seu ambiente e a que têm acesso? A maioria das equipas de segurança não sabe. Os servidores MCP conectam agentes aos seus sistemas mais sensíveis, e estão a ser implementados mais rapidamente do que qualquer um consegue monitorizá-los.
- Que ações esses servidores podem executar, e sob a autoridade de quem? A vulnerabilidade funciona precisamente porque a interface STDIO do MCP permite a execução arbitrária de comandos do sistema operacional com autenticação mínima. Você precisa entender o que seus agentes estão autorizados a fazer e monitorar o que eles realmente fazem.
- Onde sua infraestrutura agêntica interage com APIs externas? O caminho da violação em cenários como este quase sempre termina em uma API. Dados sensíveis, chaves de API, credenciais de banco de dados: esses são os alvos, e as APIs são como eles são exfiltrados.
Na Salt, construímos o Grafo de Segurança Agêntica especificamente para responder a essas perguntas. É o único framework que oferece às equipes de segurança visibilidade e controle totais em todas as três camadas da infraestrutura agêntica: o LLM, os servidores MCP e as APIs que eles chamam. Não porque previmos esta vulnerabilidade exata, mas porque entendemos o problema estrutural desde o início.
A superfície de ataque do MCP não é mais teórica. Ela está no seu ambiente agora mesmo, e está sendo ativamente pesquisada por agentes de ameaça que leem os mesmos artigos do Hacker News que seus desenvolvedores.
Você não pode proteger o que não consegue ver. Comece por aí.
