Uma análise de segurança em escala revelou que milhares de servidores MCP (Model Context Protocol) apresentam falhas críticas que podem comprometer organizações que adotam IA. O estudo avaliou 9.695 servidores e encontrou 2.259 com vulnerabilidades exploráveis, incluindo acesso a arquivos arbitrários, injeção de comandos, SSRF e SQL injection — demonstrando que a adoção acelerada do protocolo não foi acompanhada por práticas de segurança adequadas.
O Que É O Protocolo MCP
O Model Context Protocol (MCP) é um padrão aberto que conecta modelos de linguagem a sistemas externos — filesystems, bancos de dados, APIs e ambientes cloud. Ele permite que agentes de IA executem ações reais: ler arquivos, consultar databases, chamar APIs e automatizar fluxos de trabalho. Essa ponte privilegiada é exatamente o que torna o MCP tão poderoso e, ao mesmo tempo, tão perigoso quando mal implementado.
Quando um servidor MCP é comprometido, o atacante ganha acesso ao mesmo nível de privilégio que o agente de IA possui — o que pode incluir acesso total ao filesystem do host, credenciais de bancos de dados em texto plano e capacidade de realizar requisições para a rede interna da organização. A pesquisa analisou servidores hospedados em repositórios populares como GitHub, Glama, Lobehub e PulseMCP.
Dimensão Das Falhas Encontradas
A pesquisa catalogou 4.982 vulnerabilidades distintas distribuídas em múltiplas categorias de risco. Os números revelam um ecossistema onde falhas básicas de segurança são a norma, não a exceção:
| Tipo de Vulnerabilidade | Ocorrências |
|---|---|
| Acesso a arquivos arbitrários | 880 |
| Sem autenticação | 2.054 |
| Injeção de comando | 476 |
| SSRF | 422 |
| Denial of service | 490 |
| SQL injection | 211 |
| Cross-site scripting | 155 |
| Prompt injection (malicioso) | 185 |
As 2.054 instâncias sem autenticação não são contabilizadas como vulnerabilidades isoladas, mas amplificam drasticamente o impacto de todas as outras categorias. Um servidor MCP com path traversal sem autenticação é um portal aberto para o filesystem do host.
Popularidade Não Indica Segurança
Um dos achados mais relevantes do estudo é a ausência de correlação entre popularidade e postura de segurança. Servidores com mais de 50 estrelas no GitHub frequentemente apresentam as falhas mais graves — SSRF, prompt injection e acesso a arquivos — justamente por oferecerem integrações complexas com múltiplos serviços. Quanto mais ferramentas um servidor MCP expõe, maior a superfície de ataque.
Projetos com mais de 100 commits não demonstraram taxas de vulnerabilidade menores que projetos menos ativos, indicando que a complexidade de desenvolvimento introduz mais vetores de ataque sem melhorar os controles defensivos. Os mecanismos de verificação implementados por diretórios MCP — incluindo inspeção automatizada de código e validação de propriedade — não reduziram significativamente o risco. Servidores verificados apresentaram quase o mesmo número médio de vulnerabilidades que os não verificados.
Risco Em Cenários Corporativos
Em servidores MCP voltados ao mercado de criptomoedas e DeFi, os pesquisadores identificaram server-side template injection que permite execução remota de código no host. Em ambientes corporativos, servidores de conectividade com bancos de dados expuseram SQL injection e consultas não autenticadas ao Active Directory. O atacante pode realizar reconhecimento e escalonamento de privilégios via queries em linguagem natural processadas por sistemas de IA — sem precisar escrever uma única linha de SQL ou LDAP.
O conceito de “severity-weighted reach” identificado pelos pesquisadores é particularmente preocupante: servidores populares com múltiplas vulnerabilidades representam risco sistêmico desproporcional devido à sua implantação ampla. Uma única vulnerabilidade em um MCP server com milhares de instalações pode comprometer centenas de organizações simultaneamente.
Como Mitigar O Risco MCP
Audite cada servidor MCP antes da integração — inspecione o código-fonte, não confie em badges de verificação de diretórios. Exija autenticação forte (OAuth 2.0 ou API keys com rotação) e aplique o princípio do menor privilégio em cada tool exposto pelo servidor. Valide rigorosamente todas as entradas, bloqueando path traversal (../), comandos shell e SSRF para IPs privados.
Restrinja a conectividade por rede para que o MCP server acesse apenas os recursos estritamente necessários. Implemente sandboxing para isolar o processo do servidor MCP do restante do host. Monitore tráfego em tempo real para detectar comportamento anômalo nas chamadas de ferramentas — requisições para IPs internos não esperados, acessos a caminhos sensíveis ou padrões de uso fora do horário normal.