O Model Context Protocol (MCP), uma tecnologia-chave para agentes de IA adotados por gigantes como OpenAI, Microsoft e AWS, contém vulnerabilidades críticas de segurança, revela um novo relatório. Publicado pela empresa de segurança Backslash Security, a pesquisa detalha falhas como”Bightjack”, que expõe servidores em redes locais. O uso generalizado do protocolo cria uma nova superfície de ataque significativa para todo o ecossistema Agentic AI. Em resposta, o backslash lançou um centro de segurança pública para ajudar os desenvolvedores a avaliar o risco. src=”https://winbuzzer.com/wp-content/uploads/2025/04/Model-Context-Protocol.jpg”>
A Universal Protocol Meets a Critical Flaw
The Model Context Protocol first emerged in November 2024, introduced by Anthropic to solve a nagging problem in Desenvolvimento de IA. Como explicou antropia na época,”toda nova fonte de dados requer sua própria implementação personalizada, dificultando a escala de sistemas verdadeiramente conectados”. O objetivo era criar uma linguagem universal para os modelos de IA se conectarem com ferramentas externas, substituindo integrações sob medida.
A idéia foi um sucesso retumbante. Em questão de meses, os maiores players do setor, incluindo a Microsoft for Azure AI, a AWS com seus próprios servidores de código aberto e o OpenAI, anunciaram o suporte. O CEO do Google Deepmind, Demis Hassabis, elogiou, afirmando:”O MCP é um bom protocolo e está rapidamente se tornando um padrão aberto para a era agente da IA”. O relatório de segurança de backslash , que analisou milhares de servidores publicamente disponíveis, ou que foi um número de servente e o que foi um número de segurança. E o risco de uma”combinação tóxica”
A fraqueza mais comum, encontrada em centenas de casos, foi apelidada de”Jacking Jacking”. Segundo o relatório, esses servidores MCP vulneráveis estavam explicitamente vinculados a todas as interfaces de rede (0.0.0.0). Essa configuração errônea simples, mas crítica, os torna “servidores MCP que estavam explicitamente ligados a todas as interfaces de rede (0.0.0.0), tornando-os acessíveis a qualquer pessoa na mesma rede local.”, Como observado por uma segurança de barriga. A segunda grande vulnerabilidade envolve “permissões excessivas e injeção de OS”. Essa falha decorre de práticas descuidadas de codificação, como a falta de higienização de entrada ao passar os comandos para um shell do sistema. O risco do mundo real é grave. Os pesquisadores alertam que, quando essas duas falhas estão presentes no mesmo servidor, o resultado é uma”combinação tóxica crítica”. O relatório adverte:”Quando a exposição à rede atende a permissões excessivas, você obtém a tempestade perfeita”., Permitindo que um ator malicioso assuma o controle total do host. O protocolo está sendo integrado profundamente aos fluxos de trabalho do desenvolvedor, da VS Code da Microsoft à API de respostas do OpenAI. Essa integração generalizada significa que uma vulnerabilidade no protocolo não é um problema isolado, mas um risco sistêmico. Em maio, a empresa de segurança Invariant Labs descobriu uma vulnerabilidade crítica no popular servidor MCP do Github. Apelidado de”fluxo do agente tóxico”, a exploração permitiu que um agente de IA fosse enganado a vazar dados do repositório privado. Technology analyst Simon Willison analyzed the exploit, calling the situation “a lethal trifecta for prompt injection: the AI agent has access to private data, is exposed to malicious instructions, and can exfiltrate Informação.”Esse incidente anterior destacou que a maneira como os agentes interagem com dados não confiáveis é um ponto fraco fundamental. O foco está na capacidade, não necessariamente na segurança do tecido conjuntivo. Hub . Esta plataforma é o primeiro banco de dados de segurança pesquisável publicamente dedicado aos servidores MCP, pontuando-os com base em sua postura de risco e detalhando possíveis fraquezas.