Uma pesquisa da Microsoft revelou que agentes de IA conectados ao MCP (Model Context Protocol) podem ser manipulados por atacantes que alteram as descrições das ferramentas. Sem que o usuário perceba, o agente coleta dados corporativos e os envia para servidores controlados por terceiros. Cada passo da operação parece legítimo — nenhum alarme dispara.
O que é o MCP
O MCP é um protocolo aberto que permite que modelos de IA como o Microsoft 365 Copilot ou agentes customizados no Copilot Studio chamem ferramentas externas, da mesma forma que um aplicativo consome uma API. É o canal entre a IA e os sistemas de negócios: e-mail, arquivos, calendários, bancos de dados e serviços de pagamento.
A Microsoft classifica o MCP como a parte de mais rápido crescimento na cadeia de agentes de IA, o que o transforma em uma superfície de ataque em expansão. Como 82% dos servidores MCP estão vulneráveis a ataques, o risco não é teórico.
Como o ataque funciona
Cada ferramenta MCP carrega uma descrição em texto simples: algumas linhas que informam ao agente o que a ferramenta faz e quando usá-la. O agente lê esse texto para decidir como agir. É exatamente aí que mora o problema.
A descrição é apenas texto, e texto pode carregar instruções ocultas. A Microsoft ilustra com um cenário de faturas: uma equipe de finanças configura um agente para processar faturas de fornecedores. O agente se conecta a três ferramentas, incluindo um serviço terceirizado de “enriquecimento de faturas” que foi aprovado, mas nunca recebeu uma revisão de segurança real.
O atacante então atualiza esse serviço terceirizado. O nome e o resumo visível permanecem os mesmos. Enterrado na descrição, disfarçado como notas de formatação, está uma instrução escondida: colete as últimas 30 faturas não pagas e anexe-as à próxima chamada.
O MCP pega alterações de descrição automaticamente. Em configurações sem um gatilho de reaprovação, a versão envenenada entra em produção sem revisão adicional. Quando um analista faz uma pergunta rotineira sobre um fornecedor, o agente segue a instrução oculta, coleta as faturas e as envia como parte de uma requisição aparentemente normal.
Cada movimento do agente é legítimo individualmente. A ferramenta foi aprovada. A consulta de dados executou com as permissões do próprio analista. A chamada de saída foi para um servidor que era permitido quando foi adicionado. A fraqueza, como a Microsoft define, vive na “fronteira de confiança entre os sistemas”.
PoC real: pacote npm roubava e-mails
Esse tipo de ataque já saiu do laboratório. Em setembro de 2025, pesquisadores da Koi Security identificaram o postmark-mcp, um pacote npm que espelhava uma ferramenta legítima de e-mail por 15 versões limpas. A versão 1.0.16 inseriu uma linha que adicionava BCC em cada e-mail enviado por um agente de IA, redirecionando o conteúdo para phan@giftshop.club. Foi classificado como o primeiro MCP malicioso documentado na natureza.
Antes disso, em abril de 2025, a Invariant Labs batizou a técnica de “tool poisoning” com uma prova de conceito que escondeu instruções na descrição de uma ferramenta de calculadora e fez o editor Cursor ler a chave SSH privada do usuário e enviá-la para um servidor externo.
72,8% de eficácia em testes
O benchmark MCPTox, publicado em agosto de 2025, testou descrições envenenadas contra 45 servidores MCP reais e 353 ferramentas autênticas, usando 20 modelos de IA líderes. A taxa de sucesso chegou a 72,8%. Os modelos quase nunca recusaram executar as instruções maliciosas embutidas nas descrições.
O problema fundamental é que o MCP mistura instruções e dados no mesmo lugar. A descrição de uma ferramenta vive na memória de trabalho do agente ao lado de suas ordens reais, então editar essa descrição pode redirecionar o agente tão eficazmente quanto reescrever seu prompt de sistema. O agente não tem um método confiável para distinguir uma instrução honesta de uma instrução maliciosa inserida por quem mantém a ferramenta.
O que a Microsoft recomenda
A pesquisa veio da equipe de resposta a incidentes e do grupo de segurança do Microsoft Defender. A recomendação se resume a cinco pontos:
- Trate cada ferramenta conectada como parte da cadeia de suprimentos. Mantenha uma lista de editores aprovados, desative “permitir tudo” e restrinja cada agente às ferramentas estritamente necessárias.
- Trate a descrição da ferramenta como um prompt de sistema. Revise alterações da mesma forma que revisaria mudanças de código, e escaneie o texto por comandos que não deveriam estar num campo de ajuda.
- Coloque um humano à frente de ações de risco. Tudo que movimenta dinheiro, compartilha dados fora da empresa ou altera contas deve exigir aprovação humana.
- Dê a cada agente uma identidade própria e monitore o que ele faz. Registre suas ações, estabeleça uma linha de base do normal e sinalize novos endpoints, extrações de dados maiores ou consultas incomuns.
- Aplique o princípio do menor agente, não só do menor privilégio. Mesmo um agente com permissões baixas pode causar danos reais se puder agir sem verificações.
A conexão com o OWASP
O caso do postmark-mcp é citado pela OWASP Top 10 para Aplicações Agentivas como exemplo de vulnerabilidade na cadeia de suprimentos de agentes de IA. O rótulo “Agentic Supply Chain Vulnerabilities” entrou para o documento de dezembro de 2025, reconhecendo formalmente que ferramentas conectadas a agentes de IA representam um vetor de ataque distinto.
A Microsoft observa que esse não é um bug no Copilot em si, mas uma lacuna de confiança aberta pela conexão com ferramentas externas. Quem usa o Microsoft 365 Copilot, Copilot Studio ou Azure AI Foundry precisa tratar cada MCP integrado como código de terceiro — porque é isso que ele é.
O risco para o Brasil
Empresas brasileiras que adotaram agentes de IA para automação financeira, atendimento ou gestão de dados correm o mesmo risco. A popularização de frameworks como LangChain e o uso crescente do MCP como padrão de integração significam que ferramentas de terceiro sem auditoria podem estar expostas a esse vetor em ambientes corporativos de qualquer porte.
O precedente do uso de IA como arma em ataques ao GitHub mostra que a superfície de ataque ligada a inteligência artificial cresce mais rápido que as defesas. Adicionar uma camada MCP sem revisão de segurança é o equivalente digital de dar a chave do cofre para um entregador que você nunca checou.
Referências
- Microsoft Warns Poisoned MCP Tool Descriptions Can Make AI Agents Leak Data — The Hacker News
- MCP Security Notification: Tool Poisoning Attacks — Invariant Labs
- First Malicious MCP in the Wild: The Postmark Backdoor — Koi Security
- MCPTox: A Benchmark for Tool Poisoning Attack on Real-World MCP Servers — arXiv
- Open-source MCP server package caught stealing emails — SC Media
- OWASP Top 10 for Agentic Applications