Pesquisadores divulgaram três vulnerabilidades no mcp-server-git, servidor oficial do Model Context Protocol (MCP) mantido pela Anthropic, que podem ser exploradas para leitura/exclusão arbitrária de arquivos e, em certas condições, execução de código em instâncias vulneráveis.
Descoberta e escopo
A divulgação, reportada pelo The Hacker News, descreve um conjunto de problemas no componente que serve repositórios Git como contexto para assistentes de IA. As falhas são exploráveis via manipulação do conteúdo que o assistente consome — vetores com semelhança a prompt injection — quando um atacante consegue controlar arquivos lidos pelo MCP (por exemplo, um README malicioso num repositório público que seja indexado como contexto).
Vetor e exploração
Os vetores descritos implicam que um adversário que consiga submeter conteúdo controlado ao repositório (ou a qualquer fonte de contexto consumida pelo MCP) pode induzir a leitura de arquivos arbitrários do filesystem atendido pelo servidor, provocar deleção de arquivos e, em circunstâncias específicas — dependendo da configuração e dos controles de isolamento — conseguir execução de comandos.
Evidências e limites
A reportagem indica que a exploração se dá por meio de técnicas de injection no fluxo de consumo de contexto e que condições ambientais (permissões do processo, configuração do servidor e forma como o MCP monta/expõe repositórios) determinam o impacto final. Não há, na cobertura disponível, confirmação pública de exploração ativa em ambientes de produção nem detalhes completos de PoC que permitam reprodução imediata sem conhecimento do ambiente alvo.
Impacto operacional
Embora os componentes MCP estejam menos difundidos que servidores Git tradicionais, seu uso em pipelines de LLMs e assistentes que consomem código/artefatos como contexto torna a falha relevante para organizações que hospedam modelos internamente ou expõem ferramentas de desenvolvimento que integram MCP. A leitura de arquivos sensíveis (credenciais, chaves) ou a execução de código a partir de contexto malicioso pode levar a comprometimento de sistemas e vazamento de dados.
Mitigações e recomendações
- Isolar processos que atendem MCP em ambientes com privilégios mínimos e filesystem restrito (sandboxing, contêineres sem mounts sensíveis).
- Evitar que o servidor sirva repositórios que contenham conteúdo de origem não confiável; aplicar políticas de validação e revisão de conteúdo antes de expor como contexto.
- Monitorar e auditar acessos a arquivos sensíveis e configurar detecções de operações incomuns no servidor MCP.
- Aplicar controles de network e autenticação no acesso ao servidor Git/MCP para limitar quem pode submeter ou puxar contextos.
Implicações para cadeias de fornecimento de IA
Este caso reforça risco emergente nas cadeias de contexto de modelos: componentes que agregam e expõem dados para LLMs tornam-se vetores de supply‑chain quando aceitam entradas externas como contexto. Organizações que integram repositórios de terceiros nos prompts ou fazem ingestão automatizada devem tratar essas superfícies como código potencialmente hostil e aplicar políticas de defesa em profundidade.
O que falta
Não foram publicados detalhes completos de PoC públicos nem há indicação de exploração generalizada até a data do relatório. Falta também um advisory oficial detalhando CVE(s) correlacionados, medidas paliativas fornecidas pela Anthropic ou cronograma de correção divulgado pela própria empresa — informação que seria determinante para avaliar o nível de urgência em grandes ambientes de produção.
Recomendação final
Organizações que utilizam Anthropic MCP ou integrações que expõem repositórios como contexto devem revisar imediatamente políticas de ingestão, isolar servidors MCP e limitar escopo de leitura/escrita no filesystem. Se possível, aguardar e aplicar correções oficiais assim que publicadas; enquanto isso, adotar monitoração focada e reduzir a superfície de exposição são medidas pragmáticas.