Em um protocolo conhecido de inteligência artificial foi descoberta uma vulnerabilidade crítica, e a empresa Anthropic afirmou que não irá corrigi-la

Ameaça cibernética no protocolo MCP: como isso se apresenta e o que fazer

Como isso se manifestaOrigem da vulnerabilidadeOs pesquisadores da OX Security encontraram um defeito arquitetônico no Model Context Protocol (MCP).SDKs afetadosBibliotecas oficiais para Python, TypeScript, Java e Rust.Volume de riscoMais de 150 milhões de downloads e até 200 mil instâncias de servidor usam esses SDKs.Resposta AnthropicA empresa afirmou que o protocolo “se comporta como esperado” e não requer alterações.

O que é MCP?
- Padrão aberto apresentado pela Anthropic em 2024.
- Permite que modelos de IA se conectem a ferramentas externas, bancos de dados e APIs.
- No ano passado, o protocolo foi transferido para a Agentic AI Foundation na Linux Foundation; atualmente é usado pela OpenAI, Google e a maioria das ferramentas de IA.

Como funciona a vulnerabilidade
1. Interface STDIO
- As requisições são enviadas diretamente ao ponto de execução de comandos sem verificação adicional.
2. Herança do risco
- Qualquer desenvolvedor que use o MCP automaticamente adquire essa fraqueza.

Caminhos possíveis de exploração (4 famílias)
NºTipo de ataqueO que o invasor faz1Injeção de código no UI sem autorizaçãoEscreve código malicioso que é executado automaticamente.2Contorno de proteção em plataformas “seguras” (Flowise)Usa a vulnerabilidade para burlar mecanismos internos de segurança.3Requisições maliciosas em IDEs (Windsurf, Cursor)Executa comandos sem intervenção do usuário.4Distribuição de pacotes maliciosos via MCPPublica código malicioso que é carregado automaticamente por outros usuários.
- Testes: os pesquisadores conseguiram injetar payload em 9 dos 11 registros MCP e demonstraram a capacidade de executar comandos em seis plataformas comerciais.

Vulnerabilidades adicionais encontradas
AplicativoCVEStatusLiteLLMCVE‑2026‑30623FechadoBishengCVE‑2026‑33224FechadoWindsurfCVE‑2026‑30615“Mensagem recebida” (execução local de código)GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT–Mesmo status

Como a Anthropic reage
- Recomendações da OX Security:
- Restringir requisições apenas do manifesto.
- Introduzir uma lista de comandos permitidos no SDK.
- Resposta da empresa: recusa em fazer alterações e ausência de objeções à divulgação da vulnerabilidade.

O que está acontecendo agora
EventoEstado atualVazamento do modelo MythosA Anthropic conduz investigação interna.Saída de código Claude CodeJá houve vazamento de código-fonte do serviço.Gerenciamento MCPTransferido para a Linux Foundation, mas a Anthropic ainda mantém o SDK com a falha.

O que os desenvolvedores devem fazer
- Enquanto a interface STDIO não for alterada, é necessário implementar filtragem de dados de entrada por conta própria.
- Verificar versões do SDK e atualizá‑las para as últimas correções, se disponíveis.
- Considerar a implementação de seus próprios mecanismos de verificação de comandos e restrições no nível da aplicação.

Resumo:
A vulnerabilidade no MCP representa uma ameaça séria para milhões de usuários. Apesar da recusa da Anthropic em alterar o protocolo, os desenvolvedores devem tomar medidas de proteção até que correções oficiais sejam lançadas.