Menos de dois meses depois que a OpenAI lançou um novo Apps SDK, a indústria está se movendo para padronizar a forma como os agentes de IA exibem interfaces interativas.
Anthropic, OpenAI e a comunidade de código aberto Model Context Protocol (MCP) propuseram conjuntamente “SEP-1865″, uma nova extensão para o MCP que transforma chatbots baseados em texto em tempos de execução de aplicativos full-stack.
Ao definir um padrão universal para renderizar widgets como gráficos e formulários, a proposta visa evitar um ecossistema fragmentado onde os desenvolvedores devem construir interfaces separadas para cada plataforma de IA.
A iniciativa também introduz sandboxing de segurança obrigatório, abordando diretamente vulnerabilidades críticas de segurança que afetaram as primeiras implantações de agentes.
Do Data Pipe ao’Agentic App Runtime’
Originalmente projetado como um utilitário de back-end para conectar fontes de dados, o Model Context Protocol (MCP) está passando por uma mudança arquitetônica fundamental.
Introduzido como “SEP-1865,”a proposta traz um esquema ui://URI dedicado, permitindo que os servidores definam interfaces visuais junto com suas cargas úteis de dados. O documento oficial da proposta define o novo esquema:
“Os modelos de UI são recursos com o esquema ui://URI, referenciados nos metadados da ferramenta.”
“Essa abordagem permite que os hosts pré-busquem e revisem os modelos antes da execução da ferramenta, melhorando o desempenho e a segurança. Ela também separa a apresentação estática (o modelo) dos dados dinâmicos (resultados da ferramenta), permitindo melhor armazenamento em cache.”
Efetivamente, a mudança transforma o protocolo em um mecanismo de entrega para aplicativos full-stack, indo além do simples trocas JSON baseadas em texto. Os usuários não precisarão mais analisar dados brutos; em vez disso, os agentes podem renderizar gráficos de barras interativos, formulários de aprovação ou painéis complexos diretamente na janela de bate-papo.
Nos bastidores, o sistema depende do protocolo base MCP JSON-RPC existente sobre postMessage, garantindo que ele permaneça independente de transporte em vez de vinculado a uma implementação específica do navegador.
Arquitetonicamente, o sistema separa modelos de apresentação estáticos de dados dinâmicos, uma opção de design destinada a melhorar o desempenho do cache e reduzir a latência.
Conforme observado pelos principais mantenedores, essa evolução significa que “a extensão de aplicativos MCP está começando a se parecer com um tempo de execução de aplicativo de agente: uma base para novas interações entre modelos de IA, usuários e aplicativos”. href=”https://www.backslash.security/blog/hundreds-of-mcp-servers-vulnerable-to-abuse”target=”_blank”>O relatório Backslash Security expôs anteriormente “NeighborJack”, uma falha em que os servidores MCP vinculados a 0.0.0.0 expunham redes locais a invasores.
A Backslash alertou que “quando a exposição da rede encontra permissões excessivas, você obtém a tempestade perfeita”.
Para complicar ainda mais a percepção da segurança do MCP estava o “Fluxo de Agente Tóxico” descoberto no servidor MCP do GitHub, onde os agentes poderiam ser induzidos a exfiltrar repositórios privados. A nova especificação aborda esses riscos de comunicação diretamente:
“Em vez de inventar um protocolo de mensagem personalizado, os componentes da UI se comunicam com os hosts usando o protocolo base MCP JSON-RPC existente sobre postMessage.”
“A especificação de extensão inicial suporta apenas conteúdo de texto/html, renderizado em iframes em sandbox.”
Para mitigar esses riscos, o novo padrão exige que todo o conteúdo da UI seja renderizado dentro de iframes em sandbox, limitando estritamente a capacidade de acesso do agente. o DOM host.
A aplicação de um modelo de “pré-declaração” permite que aplicativos host (como Claude Desktop ou VS Code) revisem e aprovem modelos de UI antes de serem exibidos ao usuário.
O analista Simon Willison descreveu anteriormente o que está em jogo, observando que a combinação de acesso a dados e capacidades de execução cria”uma trifeta letal para injeção imediata”quando um agente de IA tem acesso a dados privados, é exposto a instruções maliciosas e pode exfiltrar informações.
Uma frente unificada contra jardins murados
O momento certo é fundamental para esta proposta, sinalizando um realinhamento crítico no ecossistema de desenvolvedores de IA, especificamente em relação ao papel da OpenAI.
Em outubro, a OpenAI lançou seu próprio Apps SDK proprietário, ameaçando dividir o mercado em “jardins murados” incompatíveis para ChatGPT versus outros modelos.
Ao apoiar o SEP-1865, a OpenAI está efetivamente se voltando para oferecer suporte a um padrão universal, garantindo que os desenvolvedores só precisem construir uma interface uma vez para executá-la em Claude, ChatGPT e IDEs como Zed.
Aproveitando fortemente o trabalho de o projeto MCP-UI, a proposta credita aos mantenedores Ido Salomon e Liad Yosef por provarem a viabilidade do conceito.
Sem essa unificação, a indústria enfrentou um cenário em que cada provedor de modelo exigiria integrações de front-end personalizadas. Enfatizando a urgência desta colaboração, os mantenedores afirmaram que “a falta de padronização cria um risco real de fragmentação do ecossistema – algo que estamos trabalhando para prevenir proativamente”.
Posicionando o MCP não apenas como um conector de backend, mas como o “USB-C para IA” – uma porta universal para dados e interação, esta mudança é significativa. Com a IDC projetando 1,3 bilhão de agentes de IA ativos até 2028, espera-se que os principais hosts, incluindo Zed e potencialmente o VS Code, adotem o padrão, solidificando-o como o tempo de execução padrão para a próxima geração de aplicativos de agente.
