Servidores MCP do Anthropic são novo vetor para execução de código e exfiltração de dados
O Model Context Protocol (MCP), padrão lançado pela Anthropic em novembro de 2024 para conectar assistentes de IA a sistemas externos, introduziu uma nova superfície de ataque crítica. Pesquisadores da Praetorian identificaram em fevereiro de 2026 que servidores MCP podem ser explorados para criar uma oportunidade de "máquina-no-meio", permitindo que cibercriminosos interceptem, monitorem e manipulem interações entre LLMs e ferramentas.
Descoberta e escopo
A análise da Praetorian, utilizando uma ferramenta de validação personalizada chamada MCPHammer, demonstrou que as ameaças são práticas e afetam múltiplos modelos e agentes. A vulnerabilidade reside na arquitetura dos servidores MCP, que atuam como ponte entre o agente de IA e a infraestrutura de destino. Ataques podem explorar esses servidores para obter acesso não autorizado, independentemente de estarem hospedados localmente ou por provedores SaaS de terceiros.
Impacto e alcance
O impacto de tais ataques é amplo, permitindo que adversários executem código arbitrário com os privilégios do usuário e exfiltrem dados locais sensíveis, incluindo credenciais e arquivos. Servidores MCP maliciosos podem ainda instalar silenciosamente mecanismos de persistência ou envenenar respostas de IA, manipulando efetivamente o comportamento do usuário. Essas atividades frequentemente ocorrem sem qualquer indicação visual, deixando a vítima completamente alheia à violação.
Vulnerabilidades na cadeia de suprimentos de configurações
Um aspecto particularmente alarmante envolve ataques à cadeia de suprimentos visando as configurações do gerenciador de pacotes usado para implantar esses servidores. O ecossistema depende fortemente do uvx para executar servidores baseados em Python, que faz o download dinâmico de pacotes especificados em um arquivo de configuração. Isso cria um vetor de ataque zero-click onde a execução de código acontece imediatamente quando o agente é iniciado, contornando quaisquer prompts de aprovação de ferramentas.
Ataques de typosquatting são uma ameaça real: se um usuário copiar uma configuração com um erro mínimo, o sistema pode baixar e executar código do atacante na inicialização. Da mesma forma, se um pacote legítimo for comprometido ou um nome de pacote excluído for re-registrado por um ator de ameaça, configurações desatualizadas puxarão automaticamente a versão maliciosa.
Repercussão e mitigação
À medida que as organizações aceleram a adoção de fluxos de trabalho baseados em IA, a dependência desses protocolos de integração cresce, muitas vezes sem a supervisão de segurança adequada. Isso cria uma superfície de ataque "oculta" onde ferramentas legítimas são encadeadas com maliciosas, concedendo aos atacantes um caminho furtivo para sistemas corporativos.
Para mitigar esses riscos, as organizações devem implementar processos rigorosos de revisão para todas as instalações de servidores MCP e tratá-los como código potencialmente adversário. As equipes de segurança devem auditar permissões de ferramentas para minimizar configurações de "sempre permitir" e monitorar fluxos de dados incomuns entre serviços conectados. Finalmente, educar os usuários sobre os perigos de chamadas de ferramentas encadeadas é vital para prevenir essas intrusões silenciosas.