O Model Context Protocol (MCP), padrão criado pela Anthropic para conectar agentes de IA a ferramentas externas, tem mais de 97 milhões de downloads mensais — mas entre 30% e 82% dos servidores MCP públicos possuem falhas exploráveis. Apenas 8,5% usam OAuth, e pelo menos 30 CVEs foram registrados contra o ecossistema, incluindo três com CVSS acima de 9. Já existem 9 incidentes de segurança documentados, com casos de execução remota de código, vazamento de dados cruzados entre empresas e backdoors em pacotes npm. O protocolo ainda não possui camada de identidade, assinatura de mensagens nem detecção de tampering.
82% dos servidores MCP estão vulneráveis
Explosão de adoção, maturidade zero
A adoção do MCP acelerou de forma impressionante. Em novembro de 2024, os downloads mensais do SDK giravam em torno de 100 mil. Em abril de 2025, saltaram para 8 milhões. Hoje, são mais de 97 milhões por mês entre Python e TypeScript, segundo dados do mantenedor principal David Soria Parra, divulgados em evento da Anthropic em dezembro de 2025.
ChatGPT, Claude, Cursor, Gemini, Microsoft Copilot e VS Code adotaram MCP como integração de primeira classe. OpenAI entrou em março de 2025, Google DeepMind em abril, Microsoft e GitHub em maio. Em dezembro, Anthropic doou o protocolo para a Agentic AI Foundation, sob a Linux Foundation, com AWS, Cloudflare, Google, Microsoft e OpenAI como membros platinados.
Pesquisa da Team8 (CISO Village Survey 2025) mostra que 70% das empresas já rodam agentes de IA em produção, com outros 23% planejando deployment em 2026. A infraestrutura brasileira de fintech e e-commerce segue o mesmo ritmo — o perigo é que a governança de segurança não está acompanhando.
Os números assustam de verdade
Os dados coletados por empresas de segurança formam um quadro preocupante:
- 82% dos servidores MCP usam operações de arquivo suscetíveis a path traversal (Endor Labs, 2.614 implementações analisadas)
- 43% vulneráveis a injeção de comando (Equixly, varredura de segurança ofensiva)
- 36,7% suscetíveis a SSRF (BlueRock Security, 7 mil+ servidores)
- 33% com vulnerabilidades críticas (Enkrypt AI, 1 mil servidores escaneados)
- 492 servidores MCP expostos na internet aberta sem autenticação nem criptografia, com acesso direto a 1.402 ferramentas (Trend Micro, julho de 2025)
O mais alarmante: apenas 8,5% dos servidores MCP audidados utilizam OAuth para autenticação, segundo auditoria da Astrix com 5.200+ servidores. A grande maioria — 53% — depende de chaves de API estáticas ou tokens de acesso pessoal, e 79% passam credenciais via variáveis de ambiente, um método frágil que pode ser vazado por dumps de memória ou logs.
9 incidentes reais documentados
Não se trata de risco teórico. A lista de incidentes confirmados cresce rapidamente:
CVE-2025-6514 (CVSS 9.6) — mcp-remote: A JFrog descobriu que um servidor MCP malicioso podia enviar uma URL OAuth craftada que o mcp-remote passava diretamente para o shell do sistema. Resultado: execução remota de código completo na máquina do desenvolvedor. Com 437 mil+ downloads afetados, foi o primeiro caso documentado de RCE via infraestrutura MCP, segundo a Docker.
CVE-2025-49596 (CVSS 9.4) — MCP Inspector da Anthropic: A ferramenta de debug da própria Anthropic permitia RCE não autenticado via rebinding de DNS e browser. Apenas visitar um site malicioso com o inspector rodando bastava para comprometer a máquina. A SentinelOne incluiu o caso em seu guia completo de segurança MCP.
Brecha na Smithery.ai — 3.243 servidores: Uma vulnerabilidade de path traversal na plataforma de hospedagem MCP expôs um token Fly.io com acesso root a mais de 3 mil aplicações MCP. Pesquisadores confirmaram acesso root e capacidade de capturar tráfego de rede, conforme a DEV Community.
Vazamento cruzado na Asana: O servidor MCP da Asana tinha uma falha de isolamento entre tenants que permitia acesso a dados de projetos, tarefas e arquivos de outras organizações. O bug ficou ativo por 34 dias, afetando cerca de 1 mil clientes.
postmark-mcp — primeiro backdoor MCP em pacote npm: Um pacote falso chamado postmark-mcp adicionou silenciosamente um BCC para endereço do atacante em todos os e-mails enviados. Passou por 15 versões antes de receber o backdoor na 1.0.16. O caso lembra diretamente o dos pacotes npm e Go sequestrados que espionavam desenvolvedores via VS Code — ambos demonstram como cadeias de suprimento de ferramentas de desenvolvimento são o vetor de ataque mais negligenciado.
Além desses, a Practical DevSecOps documenta o caso CVE-2026-33032 (CVSS 9.8, bypass de autenticação no nginx-ui MCP, com exploração ativa confirmada), três CVEs no servidor Git da Anthropic (CVE-2025-68143/68144/68145) com seis meses de exposição antes do patch, e o MCPoison no Cursor (CVE-2025-54136, RCE persistente via troca de configuração MCP).
47% das empresas já sofreram incidentes
Os dados de incidentes empresariais reforçam o risco. Entre 47% e 53% das organizações já tiveram agentes de IA que ultrapassaram permissões ou sofreram um incidente de segurança relacionado. O HackerOne registrou um aumento de 540% em relatórios de injeção de prompt em 2025, patamar diretamente ligado ao crescimento do ecossistema MCP.
Apenas 23% das organizações possuem uma estratégia formal de identidade para agentes de IA, e só 14,4% dos agentes chegam à produção com aprovação de segurança completa. A lacuna entre velocidade de deployment e governança de segurança é a vulnerabilidade mais explorada atualmente.
O Gartner projeta que as taxas de incidentes impulsionados por MCP vão subir acentuadamente até 2028-2029, justamente pela expansão sem precedentes do protocolo combinada com a ausência de primitivos de segurança fundamentais.
Proteger o MCP é difícil
O problema raiz é estrutural. O MCP, como projetado, não possui camada de identidade, assinatura de mensagens, detecção de tampering ou proteção contra replay. Qualquer servidor pode se passar por outro, mensagens podem ser manipuladas em trânsito, definições de ferramenta podem mudar silenciosamente (o chamado “tool poisoning”), e não há verificabilidade.
A arquitetura centraliza credenciais de múltiplos serviços corporativos em um único ponto — o que a SentinelOne descreve como “single point of failure que expõe toda a organização quando comprometido”. Um servidor MCP sem controles de autenticação dá acesso ao atacante a bancos de dados, APIs internas, sistemas de arquivos e ferramentas de CI/CD em um único golpe.
Para quem já lida com vulnerabilidades em bibliotecas críticas, o padrão é familiar: adoção em velocidade, segurança a reboque. A diferença é que, no caso do MCP, a superfície de ataque inclui agentes autônomos tomando decisões em tempo real — e o erro de um agente pode ter consequências muito mais rápidas e difíceis de reverter.
O que desenvolvedores brasileiros precisam fazer
A recomendação para equipes que utilizam MCP é pragmática e urgente:
- Nunca conecte a servidores MCP não auditados. Cada servidor MCP é uma porta de entrada potencial para sua máquina e sua rede corporativa.
- Exija autenticação OAuth ou mTLS em todos os servidores MCP. Chaves de API estáticas e tokens em variáveis de ambiente não servem como barreira adequada.
- Rode MCP em containers isolados — nunca bare-metal no ambiente de desenvolvimento. A abordagem da Docker de containerizar servidores MCP elimina classes inteiras de ataque.
- Audite seus servidores MCP ativos. Ferramentas como as da Clutch Security podem mapear a superfície de ataque. A maioria dos servidores MCP roda localmente na máquina do desenvolvedor (86%) sem qualquer monitoramento.
- Revogue e rotacione credenciais regularmente. Um token que um agente MCP armazena pode ser extraído por prompt injection, como demonstrado nos incidentes da Supabase e do GitHub MCP.
Segurança MCP não é luxo — é requisitos mínimos de infraestrutura. Quem ignora isso está entregando as chaves do sistema a um agente que opera sem supervisão adequada.