Habr AI→ original

MCP e Segurança de Agentes IA: Como o Protocolo Criou uma Nova Superfície de Ataque

Model Context Protocol simplificou conexões de agentes IA a ferramentas — mas criou uma nova superfície de ataque. Cada servidor MCP se torna um ponto de…

Processado por IA de Habr AI; editado por Hamidun News
MCP e Segurança de Agentes IA: Como o Protocolo Criou uma Nova Superfície de Ataque
Fonte: Habr AI. Colagem: Hamidun News.
◐ Ouvir artigo

O Model Context Protocol (MCP) tornou os agentes de IA modulares: uma interface padrão única para conectar a qualquer ferramenta e serviço. Mas por trás dessa unificação existe um problema sistêmico — cada novo servidor MCP expande a zona confiável do agente e cria um ponto potencial de ataque.

Por que o MCP criou novas vulnerabilidades

Os grandes modelos de linguagem não possuem uma fronteira arquitetônica entre "dados" e "instruções". Tudo que entra no contexto do modelo é potencialmente executável. O MCP não resolve esse problema; ele o escala: agora um agente pode ter dezenas de ferramentas conectadas, e cada uma expande a superfície de ataque.

A padronização do MCP significa que um atacante que obtém controle sobre um servidor ou consegue injetar dados em suas respostas potencialmente influencia toda a cadeia de ações do agente.

Três classes principais de ameaças no ecossistema MCP:

  • Tool poisoning — a descrição da ferramenta no servidor MCP contém instruções ocultas que alteram o comportamento do agente quando chamado
  • Indirect prompt injection — instruções maliciosas estão escondidas em um documento, entrada de banco de dados ou página da web que o agente lê durante uma tarefa
  • Sampling abuse — manipulação de como o agente solicita novas inferências do modelo, permitindo contornar as restrições do prompt do sistema

Até mesmo um PDF "inofensivo", descrição de ferramenta ou string de banco de dados podem conter comandos que o agente executará junto com ferramentas legítimas.

O que os testes práticos revelaram

Essas vulnerabilidades não são teóricas. Um pesquisador realizou testes em um testbed MCP vulnerável especialmente configurado e confirmou a execução real de comandos injetados. Entre os cenários documentados estão a interceptação de chamadas de ferramentas por meio de respostas de servidor MCP especialmente formuladas e a execução de instruções ocultas em documentos de texto passados ao agente como "dados".

"Cada servidor MCP em que você confia expande a zona confiável de todo

o seu sistema — não apenas com suas próprias ferramentas, mas com tudo que ele pode entregar ao agente como dados."

O scanner BarkingDog, desenvolvido pelo autor, detecta chamadas de ferramentas suspeitas em tempo real — uma das poucas ferramentas de detecção prática disponíveis para equipes de segurança hoje.

Como a indústria está tentando resolver o problema

Os fornecedores de infraestrutura de IA estão se movimentando em várias direções simultaneamente:

  • MCP Gateways — uma camada proxy que filtra e controla chamadas de ferramentas antes de chegarem ao agente; algumas soluções adicionam logs de auditoria completos de interações
  • Sandboxing — isolamento da execução do servidor MCP com acesso restrito ao sistema de arquivos, rede e recursos do sistema
  • Arquiteturas OAuth — autorização explícita de cada ferramenta com direitos de acesso mínimos; cada servidor MCP recebe apenas as permissões realmente necessárias para uma tarefa específica

Por enquanto, todas essas soluções são parciais. O problema fundamental é arquitetônico: até que os modelos de linguagem aprendam a distinguir entre o plano de dados e o plano de controle no nível do processamento de contexto, quaisquer dados recebidos permanecem potencialmente executáveis.

O que isso significa

O MCP tornou-se o padrão de facto para agentes de IA, e a questão de sua segurança passou de um contexto acadêmico para prático. Desenvolvedores que implantam agentes com servidores MCP devem tratar cada ferramenta conectada como uma terceira parte confiável — com auditoria obrigatória, isolamento e o princípio do menor privilégio em cada chamada.

ZK
Hamidun News
Notícias de AI sem ruído. Seleção editorial diária de mais de 400 fontes. Produto de Zhemal Khamidun, Head of AI na Alpina Digital.

Quer parar de ler sobre IA e começar a usar?

AI News é um feed curado de notícias de IA. A Hamidun Academy ensina você a usar IA no trabalho.

O que você acha?
Carregando comentários…