Identificamos falhas de segurança no Model Context Protocol.

Identificamos falhas de segurança no Model Context Protocol

O Model Context Protocol (MCP) enfrenta sérios problemas de segurança devido à ausência de autenticação obrigatória. O VentureBeat destacou esses riscos em um relatório publicado em outubro passado, revelando que a implementação de apenas 10 plug-ins do MCP oferece uma probabilidade de 92% de exploração. A pesquisa da Pynt corrobora essa descoberta, indicando riscos significativos até mesmo com um único plug-in.

O principal erro do MCP foi o lançamento sem autenticação obrigatória. Estruturas de autorização foram introduzidas somente seis meses após o uso generalizado do protocolo. Merritt Baer, diretora de segurança da Enkrypt AI, alerta: "O MCP está sendo lançado com o mesmo erro observado em todos os principais lançamentos de protocolos: padrões inseguros. Se não implementarmos autenticação desde o início, enfrentaremos violações por uma década."

Três meses depois, a situação se agrava. O Clawdbot, assistente pessoal de IA que automatiza tarefas como gerenciamento de e-mails, opera totalmente com base em MCP. Desenvolvedores que implementaram o Clawdbot em servidores virtuais privados (VPS) sem seguir as diretrizes de segurança estão agora expostos a todo o potencial de ataque do protocolo.

O especialista Itamar Golan já previu tal situação. Vendendo sua empresa, a Prompt Security, por um valor estimado em $250 milhões, ele recentemente alertou: "A catástrofe está a caminho. Milhares de Clawdbots estão ativos em VPS com portas abertas para a internet e sem autenticação. Isso vai ficar feio."

Vulnerabilidades críticas não corrigidas

As falhas de segurança são consequências diretas das escolhas de design do MCP. O CVE-2025-49596, por exemplo, permite acesso não autenticado entre a interface da web e o servidor proxy do MCP, possibilitando compromissos completos do sistema. Outro caso sério é o CVE-2025-6514, onde uma injeção de comando em um proxy OAuth possibilita o controle de sistemas. Já o CVE-2025-52882 permite acesso a arquivos arbitrários devido a servidores WebSocket não autenticados.

Com três vulnerabilidades críticas em seis meses, a causa raiz é clara: a autenticação foi deixada opcional, levando desenvolvedores a desconsiderá-la.

A superfície de ataque se expande

A análise da Equixly revela que 43% das implementações do MCP apresentam falhas de injeção de comandos, enquanto 30% permitem acessos não restritos a URLs. De acordo com o analista da Forrester, Jeff Pollard: "Será uma maneira eficaz de introduzir um novo ator poderoso em seu ambiente sem proteção." Os servidores MCP, com acesso ao shell, podem ser utilizados para movimentação lateral, roubo de credenciais e implantação de ransomware, tudo ativado por um ataque de injeção de prompt.

Ações recomendadas para líderes de segurança

• Faça um inventário da exposição ao MCP agora. Ferramentas tradicionais de detecção de pontos finais não identificam servidores MCP como ameaças.
• Trate a autenticação como obrigatória. É imprescindível implementar autenticação na implantação em sistemas de produção.
• Restringa a exposição da rede. Conecte servidores MCP ao localhost, a menos que o acesso remoto autenticado seja explicitamente necessário.
• Assuma que ataques de injeção de prompt acontecerão. Os servidores MCP herdam o raio de explosão das ferramentas que envolvem.
• Exija aprovação humana para ações de alto risco. Confirmação explícita deve ser necessária antes que agentes enviem e-mails ou acessem informações sensíveis.

Desafios de governança abertos

Embora fornecedores de segurança tenham se apressado em monetizar os riscos do MCP, muitas empresas ainda não adotaram medidas adequadas. A adoção do Clawdbot aumentou exponencialmente no quarto trimestre de 2025, mas muitas rotas de segurança de 2026 não contemplam controles para agentes de IA. O espaço para atacantes permanece em aberto.

A pergunta é se as organizações conseguirão garantir sua exposição ao MCP antes que alguém a explore.