A rápida adoção do Model Context Protocol (MCP) da Anthropic, um padrão de integração de inteligência artificial (IA) que prometia revolucionar a forma como as empresas conectam seus sistemas a modelos de linguagem grandes (LLMs), revelou uma vulnerabilidade de segurança alarmante. Pesquisas recentes indicam que a utilização de múltiplos plugins MCP aumenta exponencialmente o risco de exploração, transformando o que deveria ser uma solução inovadora em um pesadelo para a cibersegurança.

A Cilada da Conectividade Facilitada

O MCP surgiu com a nobre intenção de padronizar a conexão de LLMs a ferramentas e fontes de dados externas, oferecendo uma interface universal para agentes de IA acessarem APIs, serviços em nuvem e bancos de dados. A iniciativa ganhou força rapidamente, com gigantes como Google e Microsoft adotando o padrão. Em menos de um ano, mais de 16.000 servidores MCP foram implementados em empresas da Fortune 500. No entanto, essa conectividade facilitada esconde uma armadilha.

Risco Compuesto: Uma Bomba-Relógio na Segurança Empresarial

Um estudo da Pynt revelou que a implantação de apenas dez plugins MCP eleva a probabilidade de exploração para 92%. Mesmo um único plugin já representa um risco de 9%, que cresce exponencialmente com cada adição. Essa vulnerabilidade decorre de falhas no design original do protocolo, que priorizou a interoperabilidade em detrimento da segurança. A autenticação, por exemplo, era opcional e os frameworks de autorização foram implementados tardiamente, meses após a ampla adoção do MCP.

Exemplos Práticos e Ameaças Reais

A pesquisa da Pynt, que analisou 281 servidores MCP, revelou que 72% deles expõem capacidades sensíveis, como execução dinâmica de código e acesso ao sistema de arquivos. Em 9% dos casos, essa exposição permite que atacantes injetem comandos maliciosos e exfiltrem dados sem a necessidade de aprovação humana. As vulnerabilidades não são apenas teóricas; já existem exploits em ação, como o CVE-2025-6514, que permite a execução remota de comandos no sistema operacional, e o backdoor no pacote npm postmark-mcp, que concedia aos atacantes acesso irrestrito aos fluxos de trabalho de IA.

Construindo uma Defesa em Camadas

Diante desse cenário, especialistas recomendam uma estratégia de defesa em camadas para mitigar os riscos associados ao MCP. Essa estratégia deve incluir:

• Autenticação e Controles de Acesso: Impor o uso do OAuth 2.1 para cada gateway MCP na organização.
• Camadas Semânticas: Adicionar contexto a cada decisão de acesso, garantindo que os agentes de IA trabalhem apenas com dados confiáveis e verificáveis.
• Grafos de Conhecimento: Conectar entidades, ativos de análise e processos de negócios, permitindo que os agentes de IA operem de forma transparente e segura.

A Paranoia como Aliada

A vulnerabilidade do MCP serve como um alerta para a importância de integrar a segurança desde a concepção de novas tecnologias. A pressa em adotar soluções inovadoras não deve comprometer a proteção de dados e sistemas. Como alertou Idan Dardikman, da Koi Security, “Com MCPs, a paranoia é apenas bom senso”.

Recomendações para Líderes de Segurança

Para líderes de segurança que implementaram integrações baseadas em MCP, recomenda-se:

• Implementar gateways MCP, aplicando OAuth 2.1 e centralizando o registro do servidor MCP.
• Definir uma arquitetura de segurança em camadas com camadas semânticas e grafos de conhecimento.
• Realizar auditorias regulares do MCP por meio de modelagem de ameaças, monitoramento contínuo e red-teaming.
• Limitar o uso de plugins MCP apenas aos essenciais.
• Investir em segurança específica para IA como uma categoria de risco distinta em sua estratégia de cibersegurança.