O Mannequin Context Protocol tem um problema de segurança que não desaparece.
Quando o VentureBeat relatou pela primeira vez as vulnerabilidades do MCP em outubro passado, os dados já eram alarmantes. A pesquisa de Pynt mostrou que a implantação de apenas 10 plug-ins MCP cria uma probabilidade de exploração de 92% — com riscos significativos, mesmo com um único plug-in.
A principal falha não mudou: o MCP foi enviado sem autenticação obrigatória. As estruturas de autorização chegaram seis meses após a implantação generalizada. Como Merritt Baer, diretor de segurança da Criptografar IAalertou na época: “O MCP está apresentando o mesmo erro que vimos em todas as principais implementações de protocolo: padrões inseguros. Se não construirmos autenticação e menos privilégios desde o primeiro dia, estaremos limpando violações para a próxima década.”
Três meses depois, a limpeza já começou – e é pior do que o esperado.
Garrabot mudou o modelo de ameaça. O assistente pessoal viral de IA, que pode limpar caixas de entrada e escrever código durante a noite, é executado inteiramente no MCP. Cada desenvolvedor que criou um Clawdbot em um VPS sem ler os documentos de segurança apenas expôs sua empresa à superfície de ataque completa do protocolo.
Itamar Golan previu isso. Ele vendeu Alerta de segurança para SentinelaOne por cerca de US$ 250 milhões no ano passado. Esta semana, ele postou um aviso no X: “O desastre está chegando. Milhares de Clawdbots estão ativos agora em VPSs… com portas abertas para a web… e autenticação zero.
Ele não está exagerando. Quando Knóstico escanearam a web e encontraram 1.862 servidores MCP expostos sem autenticação. Eles testaram 119. Todos os servidores responderam sem exigir credenciais.
Qualquer coisa que o Clawdbot possa automatizar, os invasores podem transformar em armas.
Três CVEs estão expondo a mesma falha arquitetônica
As vulnerabilidades não são casos extremos. São consequências diretas das decisões de design do MCP. Aqui está uma breve descrição dos fluxos de trabalho que expõem cada um dos seguintes CVEs:
-
CVE-2025-49596 (CVSS 9.4): O MCP Inspector da Anthropic expôs o acesso não autenticado entre sua interface internet e o servidor proxy, permitindo o comprometimento whole do sistema por meio de uma página internet maliciosa.
-
CVE-2025-6514 (CVSS 9.6): A injeção de comando no mcp-remote, um proxy OAuth com 437.000 downloads, permitiu que invasores assumissem o controle de sistemas conectando-se a um servidor MCP malicioso.
-
CVE-2025-52882 (CVSS 8.8): Extensões populares do Claude Code expuseram servidores WebSocket não autenticados, permitindo acesso arbitrário a arquivos e execução de código.
Três vulnerabilidades críticas em seis meses. Três vetores de ataque diferentes. Uma causa raiz: a autenticação do MCP sempre foi opcional e os desenvolvedores trataram o opcional como desnecessário.
A superfície de ataque continua se expandindo
Equixadamente analisou recentemente implementações populares de MCP e também encontrou várias vulnerabilidades: 43% continham falhas de injeção de comando, 30% permitiam busca irrestrita de URL e 22% vazavam arquivos fora dos diretórios pretendidos.
Analista da Forrester, Jeff Pollard descreveu o risco em uma postagem no blog: “Do ponto de vista da segurança, parece uma maneira muito eficaz de colocar um ator novo e muito poderoso em seu ambiente sem nenhuma proteção.”
Isso não é um exagero. Um servidor MCP com acesso shell pode ser armado para movimentação lateral, roubo de credenciais e implantação de ransomware, tudo acionado por uma injeção imediata oculta em um documento que a IA foi solicitada a processar.
Vulnerabilidades conhecidas, correções adiadas
Pesquisador de segurança Johann Rehberger revelou uma vulnerabilidade de exfiltração de arquivos em outubro passado. A injeção imediata pode enganar os agentes de IA para que transmitam arquivos confidenciais às contas do invasor.
A Anthropic lançou o Cowork este mês; expande os agentes baseados em MCP para um público mais amplo e menos preocupado com a segurança. A mesma vulnerabilidade, e desta vez é imediatamente explorável. PromptArmor demonstrado um documento malicioso que manipulou o agente para que carregasse dados financeiros confidenciais.
Orientação de mitigação da Anthropic: Os usuários devem ficar atentos a “ações suspeitas que possam indicar injeção imediata”.
A parceira da a16z, Olivia Moore, passou um fim de semana usando o Clawdbot e capturou a desconexão: “Você está dando a um agente de IA acesso às suas contas. Ele pode ler suas mensagens, enviar textos em seu nome, acessar seus arquivos e executar código em sua máquina. Você precisa realmente entender o que está autorizando.”
A maioria dos usuários não. A maioria dos desenvolvedores também não. E o design do MCP nunca exigiu isso.
Cinco ações para líderes de segurança
-
Faça um inventário de sua exposição ao MCP agora. A detecção tradicional de endpoint vê processos de nó ou Python iniciados por aplicativos legítimos. Não os sinaliza como ameaças. Você precisa de ferramentas que identifiquem especificamente os servidores MCP.
-
Trate a autenticação como obrigatória. A especificação MCP recomenda OAuth 2.1. O SDK não inclui autenticação integrada. Cada servidor MCP que toca em sistemas de produção precisa de autenticação aplicada na implantação, não após o incidente.
-
Restrinja a exposição na rede. Vincule servidores MCP ao host native, a menos que o acesso remoto seja explicitamente necessário e autenticado. Os 1.862 servidores expostos que Knostic encontrou sugerem que a maioria das exposições é acidental.
-
Suponha que ataques de injeção imediata estejam chegando e serão bem-sucedidos. Os servidores MCP herdam o raio de explosão das ferramentas que envolvem. O servidor encapsula credenciais de nuvem, sistemas de arquivos ou pipelines de implantação? Projete controles de acesso assumindo que o agente estará comprometido.
-
Forçar a aprovação humana para ações de alto risco. Exija confirmação explícita antes que os agentes enviem e-mails externos, excluam dados ou acessem informações confidenciais. Trate o agente como um funcionário júnior rápido, mas literal, que fará exatamente o que você diz, incluindo coisas que você não quis dizer.
A lacuna de governação está aberta
Os fornecedores de segurança agiram cedo para monetizar o risco do MCP, mas a maioria das empresas não agiu tão rapidamente.
A adoção do Clawdbot explodiu no quarto trimestre de 2025. A maioria dos roteiros de segurança de 2026 não tem nenhum controle de agente de IA. A lacuna entre o entusiasmo dos desenvolvedores e a governança da segurança é medida em meses. A janela para invasores está aberta.
Golan está certo. Isso vai ficar feio. A questão é se as organizações protegerão a sua exposição ao MCP antes que alguém a discover.
