São Paulo — InkDesign News — Duas falhas críticas de execução remota de código no protocolo Model Context Protocol (MCP) revelaram os riscos ocultos que permeiam a infraestrutura emergente da inteligência artificial, deixando desenvolvedores e usuários expostos a ataques.
Vetor de ataque
As vulnerabilidades, descobertas pela Tenable e pela pesquisa de segurança da JFrog, permitem que adversários tomem controle de sistemas e executem códigos arbitrários com facilidade. A falha identificada como CVE-2025-49596 afetou a ferramenta open source MCP Inspector, utilizada para testar e depurar servidores MCP. Essa falha crítica, classificada com nota 9.4 na escala de gravidade CVSS, envolve componentes de proxy que aceitam conexões sem validação de origem, tornando-os acessíveis de qualquer lugar na rede, ou até mesmo da Internet.
Impacto e resposta
Segundo Rémy Marot, engenheiro de pesquisa da Tenable, atacantes na mesma rede que o proxy podem injetar comandos maliciosos diretamente. Ele explica:
“Um atacante cria um site malicioso com JavaScript, que realizará requisições entre sites. Se um desenvolvedor visitar, o script executa, comprometendo totalmente a estação de trabalho do desenvolvedor.”
(“An attack chain begins with an attacker creating a malicious website hosting a malicious JavaScript, which will perform cross-site requests. If a developer using a vulnerable version of MCP Inspector visits this malicious website, the malicious script will execute, fully compromising the developer’s workstation.”)— Rémy Marot, Engenheiro de Pesquisa, Tenable
Outro ponto crítico é a vulnerabilidade CVE-2025-6514, que trata de um problema de injeção de comando que afeta a ferramenta open source mcp-remote. Esta falha, com um score CVSS de 9.6, também possibilita a injeção de comandos no sistema, afetando versões anteriores a 0.1.16. A JFrog recomenda que as organizações afetadas atualizem o mcp-remote para mitigar esses riscos.
Análise e recomendações
As falhas mostram como a adoção do MCP está superando a prontidão em segurança cibernética. Soujanya Ain, gerente de marketing de produtos da GitGuardian, aponta que 5,2% dos servidores MCP têm segredos vazados, um número superior à média de 4,6% entre todos os repositórios do GitHub. Ain alerta:
“Servidores MCP são a espinha dorsal dos fluxos de trabalho agenticos e estão rapidamente se multiplicando sem políticas ou proteções de segurança claras.”
(“MCP servers are the backbone of agentic workflows, and they are rapidly multiplying, with over 5,000 already published to public registries like Smithery.ai.”)— Soujanya Ain, Gerente de Marketing de Produtos, GitGuardian
Com a evolução das vulnerabilidades, as equipes de segurança devem tratar os servidores MCP como infraestrutura crítica, implementando políticas de acesso e credenciais rigorosas para evitar a exploração de falhas.
O setor deverá acompanhar de perto essas vulnerabilidades, adotando atualizações constantes e estratégias de mitigação em um cenário que se torna cada vez mais complexo e ameaçador.
Fonte: (Dark Reading – Segurança Cibernética)
