As lacunas de segurança que ainda impedem a adoção do MCP pelas empresas

Por Amber Wolff, Gerenciador de conteúdo

O Protocolo de Contexto de Modelo (MCP) está se consolidando como uma ferramenta poderosa para estender sistemas de IA com ferramentas externas, fontes de dados e fluxos de trabalho. Ele oferece uma maneira clara e flexível de conectar modelos ao mundo real — e isso o torna extremamente importante para desenvolvedores e equipes de produto.

No entanto, à medida que o interesse cresce, uma preocupação continua surgindo: O MCP ainda não está pronto para uso empresarial em termos de segurança..

Por que a segurança é um problema para os MCPs

O MCP da Anthropic possibilita uma conectividade sem precedentes, o que impulsionou sua adoção ampla e rápida. Mas essa conectividade representa uma faca de dois gumes.

Diversas CVEs descobertas recentemente indicam que O MCP está emergindo como uma nova superfície de ataque.Assim como o problema dos buckets S3 não seguros que afetou a AWS há menos de uma década, um número alarmante de servidores MCP foi encontrado exposto à internet: a empresa de segurança Trend Micro encontrou quase 500 instâncias desse tipo, enquanto a própria Knostic AI descobriu mais de três vezes esse número.

Infelizmente, os riscos de segurança associados são enormes. Pesquisa realizada pela empresa de testes de segurança de APIs Pynt Descobriu-se que um único plugin MCP introduz uma probabilidade de 9% de exploração de vulnerabilidade. Com apenas três servidores interconectados, a probabilidade de sofrer uma exploração é bastante alta. E com dez plugins MCP, a Pynt constatou que a probabilidade de exploração é quase certa, chegando a 92%.

Pior ainda, ao contrário das vulnerabilidades de segurança tradicionais, que muitas vezes podem ser corrigidas simplesmente com a aplicação de um patch, o MCP normalmente opera abaixo da camada de aplicação — o que torna os problemas difíceis de detectar e resolver.

O que falta ao MCP

Embora o MCP demonstre um enorme potencial, o ecossistema atual carece de diversas salvaguardas críticas que grandes organizações exigem. Atualmente, as implementações de MCP geralmente operam com:

• Não existe um modelo padrão de autenticação ou autorização.
• Sandboxing fraco em torno da execução de ferramentas externas
• Alta exposição a ataques de injeção imediata
• Aplicação limitada de políticas, com escopo restrito a usuários ou sessões individuais
• Estruturas mínimas de monitoramento e auditoria

Essas lacunas não representam apenas riscos teóricos — elas criam caminhos reais para escalonamento de privilégios, vazamento de dados, execução não intencional de ferramentas e violações de conformidade.

O que precisa mudar

Para implementar o MCP com segurança em ambientes empresariais ou regulamentados, precisamos de bases mais sólidas. Isso significa incorporar:

1. Autenticação forte e controle de acesso granular

As ferramentas e os dados só devem ser acessíveis por identidades autorizadas, e as permissões devem ser delimitadas, aplicadas e revogáveis.

2. Sandboxing e Isolamento de Execução

Qualquer ferramenta externa invocada por um modelo de IA deve ser executada em um ambiente cuidadosamente isolado — não diretamente em uma rede ou sistema de arquivos de produção.

3. Defesas de Injeção Imediata e Validação de Entrada

Os modelos precisam de mecanismos de proteção para evitar serem manipulados e invocarem ferramentas de maneiras não intencionais.

4. Auditoria, Monitoramento e Registro de Conformidade

As empresas precisam ser capazes de rastrear quem acessou o quê, quando, como e por quê.

5. Limitação de taxa e proteção contra DoS

Os endpoints das ferramentas devem ser resilientes a solicitações descontroladas ou chamadas recursivas de ferramentas.

6. Transporte seguro (TLS/SSL)

Todas as conexões MCP devem ser criptografadas, ponto final.

7. Minimização de dados por padrão

O modelo deve visualizar apenas os dados necessários para uma determinada tarefa — nada mais.

Concluindo!

O MCP desbloqueia novas e poderosas capacidades. Mas, sem controles de acesso robustos, isolamento de execução, monitoramento e interfaces resistentes a injeção, ele também introduz riscos significativos.

A próxima onda de adoção de MCP — especialmente em grandes empresas — dependerá do fechamento dessas lacunas de segurança.

Aqueles que resolverem bem este problema não apenas tornarão o MCP mais seguro, como também moldarão a forma como os sistemas de IA interagem com o mundo real em grande escala.