Hack Alerta

4.982 problemas de segurança identificados em servidores MCP públicos

Auditoria da Trend Micro revela 4.982 problemas de segurança em servidores MCP públicos. Falhas expõem ecossistema de IA agêntica a riscos críticos de execução de código e vazamento de dados.

Uma crise de segurança abrangente em servidores públicos de Model Context Protocol (MCP), catalogando 4.982 problemas de segurança em 2.259 servidores afetados, expondo lacunas sérias que ameaçam diretamente o ecossistema emergente de IA agêntica. O Model Context Protocol tornou-se o padrão dominante para conectar grandes modelos de linguagem (LLMs) a fontes de dados locais e remotas.

Descoberta e escopo

Em uma auditoria em grande escala de 9.695 servidores MCP rastreados de quatro diretórios públicos (GitHub, Glama, Lobehub e PulseMCP), pesquisadores da Equipe de Pesquisa de Ameaças Forward-Looking da Trend Micro identificaram problemas de segurança confirmados em 2.259 servidores, produzindo 4.982 vulnerabilidades distintas.

A análise detalhada revelou uma distribuição alarmante de falhas: acesso arbitrário a arquivos (880 problemas), sem autenticação (2.054 instâncias), injeção de comando (476), negação de serviço (490), SSRF (422), injeção SQL (211), cross-site scripting (155), injeção de prompt (185), bypass de autorização (8) e injeção de código (101).

Essas falhas foram agrupadas em três categorias de risco: vulnerabilidade explorável, fraquezas de nível de design (vulnerável por design) e comportamentos maliciosos, como injeção de prompt, onde atacantes manipulam diretamente as respostas do agente de IA.

Impacto e alcance

Uma das descobertas mais críticas do estudo é que nem a popularidade do servidor nem o status de verificação indicam segurança de forma confiável. Servidores verificados tiveram em média quase tantos problemas de segurança quanto os não verificados. Servidores de alta popularidade (50+ estrelas no GitHub) tiveram o maior raio de explosão individual; quando ferramentas amplamente adotadas são comprometidas, o impacto atinge a base de usuários mais ampla.

Enquanto isso, servidores com poucas estrelas mostraram uma contagem média de problemas por servidor maior do que o esperado, provando que baixa visibilidade não significa baixo risco. Servidores com contagens de commit mais altas não mostraram redução significativa nos problemas de segurança.

A pesquisa identificou servidores vulneráveis em ferramentas de criptomoeda e DeFi, plataformas de automação de escritório e aplicativos empresariais. Em um caso, um desenvolvedor prolífico com mais de 40 servidores MCP focados em criptomoeda teve 101 problemas de segurança em 13 repositórios afetados.

Medidas de mitigação recomendadas

As equipes de segurança devem tratar cada servidor MCP de terceiros como código não verificado, independentemente de suas estrelas ou badge de verificação. Medidas obrigatórias incluem:

  • Revisar todo o código de servidor MCP de terceiros: Antes da implantação.
  • Implementar autenticação e controles de acesso de privilégio mínimo: Para todos os servidores.
  • Validar todas as entradas de ferramentas: Para prevenir ataques de injeção.
  • Implementar inspeção de tráfego em tempo real: Entre agentes de IA e servidores MCP.
  • Adotar baselining comportamental: Para detectar quando ferramentas MCP se desviam de sua função pretendida.

As organizações devem abandonar as suposições de confiança por padrão. Métricas de prova social como estrelas do GitHub ou badges de diretório não oferecem garantia de segurança; apenas auditorias de código rigorosas e práticas de integração de confiança zero o fazem.

Análise técnica detalhada

As falhas de segurança raramente aparecem isoladas. A pesquisa identificou padrões frequentes de co-ocorrência, mais notavelmente acesso arbitrário a arquivos combinado com autenticação ausente. Isso sinaliza falhas sistêmicas na validação de entrada e higiene de segurança básica, em vez de erros de codificação isolados.

Em um caso, servidores de middleware JDBC/ODBC empresariais exibiram falhas de injeção SQL e acesso não autenticado ao Active Directory, criando caminhos de reconhecimento e escalonamento de privilégios para atacantes. A segurança deve ser tratada como um processo contínuo, não como um evento único.

A rápida adoção do MCP superou significativamente as salvaguardas de segurança. A velocidade de crescimento tornou os diretórios MCP uma fundação crítica da economia de IA moderna, mas também um alvo atraente para atacantes.

Perguntas frequentes

Qual é o risco principal? O risco principal é a execução de código arbitrário e exfiltração de dados através de servidores MCP não verificados.

Como proteger minha organização? Implemente auditorias de código rigorosas, autenticação obrigatória e monitoramento de tráfego em tempo real.

Devo confiar em servidores verificados? Não. Servidores verificados tiveram em média quase tantos problemas de segurança quanto os não verificados. A verificação não garante segurança.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.