Uma pesquisa da Microsoft revelou que agentes de IA conectados ao MCP (Model Context Protocol) podem ser manipulados por atacantes que alteram as descrições das ferramentas. Sem que o usuário perceba, o agente coleta dados corporativos e os envia para servidores controlados por terceiros. Cada passo da operação parece legítimo — nenhum alarme dispara.

O que é o MCP

O MCP é um protocolo aberto que permite que modelos de IA como o Microsoft 365 Copilot ou agentes customizados no Copilot Studio chamem ferramentas externas, da mesma forma que um aplicativo consome uma API. É o canal entre a IA e os sistemas de negócios: e-mail, arquivos, calendários, bancos de dados e serviços de pagamento.

A Microsoft classifica o MCP como a parte de mais rápido crescimento na cadeia de agentes de IA, o que o transforma em uma superfície de ataque em expansão. Como 82% dos servidores MCP estão vulneráveis a ataques, o risco não é teórico.

Como o ataque funciona

Cada ferramenta MCP carrega uma descrição em texto simples: algumas linhas que informam ao agente o que a ferramenta faz e quando usá-la. O agente lê esse texto para decidir como agir. É exatamente aí que mora o problema.

A descrição é apenas texto, e texto pode carregar instruções ocultas. A Microsoft ilustra com um cenário de faturas: uma equipe de finanças configura um agente para processar faturas de fornecedores. O agente se conecta a três ferramentas, incluindo um serviço terceirizado de “enriquecimento de faturas” que foi aprovado, mas nunca recebeu uma revisão de segurança real.

O atacante então atualiza esse serviço terceirizado. O nome e o resumo visível permanecem os mesmos. Enterrado na descrição, disfarçado como notas de formatação, está uma instrução escondida: colete as últimas 30 faturas não pagas e anexe-as à próxima chamada.

O MCP pega alterações de descrição automaticamente. Em configurações sem um gatilho de reaprovação, a versão envenenada entra em produção sem revisão adicional. Quando um analista faz uma pergunta rotineira sobre um fornecedor, o agente segue a instrução oculta, coleta as faturas e as envia como parte de uma requisição aparentemente normal.

Cada movimento do agente é legítimo individualmente. A ferramenta foi aprovada. A consulta de dados executou com as permissões do próprio analista. A chamada de saída foi para um servidor que era permitido quando foi adicionado. A fraqueza, como a Microsoft define, vive na “fronteira de confiança entre os sistemas”.

PoC real: pacote npm roubava e-mails

Esse tipo de ataque já saiu do laboratório. Em setembro de 2025, pesquisadores da Koi Security identificaram o postmark-mcp, um pacote npm que espelhava uma ferramenta legítima de e-mail por 15 versões limpas. A versão 1.0.16 inseriu uma linha que adicionava BCC em cada e-mail enviado por um agente de IA, redirecionando o conteúdo para phan@giftshop.club. Foi classificado como o primeiro MCP malicioso documentado na natureza.

Antes disso, em abril de 2025, a Invariant Labs batizou a técnica de “tool poisoning” com uma prova de conceito que escondeu instruções na descrição de uma ferramenta de calculadora e fez o editor Cursor ler a chave SSH privada do usuário e enviá-la para um servidor externo.

72,8% de eficácia em testes

O benchmark MCPTox, publicado em agosto de 2025, testou descrições envenenadas contra 45 servidores MCP reais e 353 ferramentas autênticas, usando 20 modelos de IA líderes. A taxa de sucesso chegou a 72,8%. Os modelos quase nunca recusaram executar as instruções maliciosas embutidas nas descrições.

O problema fundamental é que o MCP mistura instruções e dados no mesmo lugar. A descrição de uma ferramenta vive na memória de trabalho do agente ao lado de suas ordens reais, então editar essa descrição pode redirecionar o agente tão eficazmente quanto reescrever seu prompt de sistema. O agente não tem um método confiável para distinguir uma instrução honesta de uma instrução maliciosa inserida por quem mantém a ferramenta.

O que a Microsoft recomenda

A pesquisa veio da equipe de resposta a incidentes e do grupo de segurança do Microsoft Defender. A recomendação se resume a cinco pontos:

  1. Trate cada ferramenta conectada como parte da cadeia de suprimentos. Mantenha uma lista de editores aprovados, desative “permitir tudo” e restrinja cada agente às ferramentas estritamente necessárias.
  2. Trate a descrição da ferramenta como um prompt de sistema. Revise alterações da mesma forma que revisaria mudanças de código, e escaneie o texto por comandos que não deveriam estar num campo de ajuda.
  3. Coloque um humano à frente de ações de risco. Tudo que movimenta dinheiro, compartilha dados fora da empresa ou altera contas deve exigir aprovação humana.
  4. Dê a cada agente uma identidade própria e monitore o que ele faz. Registre suas ações, estabeleça uma linha de base do normal e sinalize novos endpoints, extrações de dados maiores ou consultas incomuns.
  5. Aplique o princípio do menor agente, não só do menor privilégio. Mesmo um agente com permissões baixas pode causar danos reais se puder agir sem verificações.

A conexão com o OWASP

O caso do postmark-mcp é citado pela OWASP Top 10 para Aplicações Agentivas como exemplo de vulnerabilidade na cadeia de suprimentos de agentes de IA. O rótulo “Agentic Supply Chain Vulnerabilities” entrou para o documento de dezembro de 2025, reconhecendo formalmente que ferramentas conectadas a agentes de IA representam um vetor de ataque distinto.

A Microsoft observa que esse não é um bug no Copilot em si, mas uma lacuna de confiança aberta pela conexão com ferramentas externas. Quem usa o Microsoft 365 Copilot, Copilot Studio ou Azure AI Foundry precisa tratar cada MCP integrado como código de terceiro — porque é isso que ele é.

O risco para o Brasil

Empresas brasileiras que adotaram agentes de IA para automação financeira, atendimento ou gestão de dados correm o mesmo risco. A popularização de frameworks como LangChain e o uso crescente do MCP como padrão de integração significam que ferramentas de terceiro sem auditoria podem estar expostas a esse vetor em ambientes corporativos de qualquer porte.

O precedente do uso de IA como arma em ataques ao GitHub mostra que a superfície de ataque ligada a inteligência artificial cresce mais rápido que as defesas. Adicionar uma camada MCP sem revisão de segurança é o equivalente digital de dar a chave do cofre para um entregador que você nunca checou.

Referências