Milhares de servidores MCP vulneráveis a ataques de acesso a arquivos e injeção de malware.
Milhares de servidores do Protocolo de Contexto de Modelo (MCP), amplamente utilizados para conectar grandes modelos de linguagem (LLMs) a sistemas externos, foram considerados vulneráveis a falhas de segurança críticas, incluindo acesso arbitrário a arquivos, injeção de comandos, falsificação de solicitação do lado do servidor (SSRF) e injeção de SQL, levantando preocupações significativas sobre a segurança da cadeia de suprimentos de IA.
Uma análise em larga escala de 9.695 servidores MCP em diretórios populares como GitHub, Glama, Lobehub e PulseMCP revela que indicadores geralmente considerados confiáveis, como popularidade, atividade do repositório e selos de verificação, não refletem de forma precisa o nível de segurança, expondo as organizações a riscos sistêmicos à medida que a adoção se acelera.
Milhares de servidores MCP foram considerados vulneráveis.
A pesquisa identificou 5.832 servidores com problemas de segurança, dos quais 2.259 apresentavam vulnerabilidades exploráveis que iam além de simples falhas de autenticação.
No total, foram catalogadas 4.982 vulnerabilidades de segurança distintas, incluindo 880 casos de acesso arbitrário a arquivos, 476 falhas de injeção de comandos, 422 vulnerabilidades SSRF, 211 problemas de injeção de SQL e 490 vulnerabilidades de negação de serviço.
Outras descobertas incluíram ataques de cross-site scripting (155 instâncias), bypass de autorização e 185 casos de injeção de prompts classificados como comportamento malicioso. Notavelmente, 2.054 servidores não possuíam mecanismos de autenticação, o que, embora não tenha sido sinalizado isoladamente, amplifica significativamente o impacto de outras vulnerabilidades quando combinado.
| Problema de segurança | Categoria | Número de problemas |
|---|---|---|
| Injeção de código | Vulnerável por natureza | 101 |
| Sem autenticação | Vulnerável por natureza | 2.054 |
| Injeção de comando | Vulnerabilidade | 476 |
| Acesso arbitrário a arquivos | Vulnerabilidade | 880 |
| SSRF | Vulnerabilidade | 422 |
| Negação de serviço | Vulnerabilidade | 490 |
| Cross-site scripting | Vulnerabilidade | 155 |
| Injeção de SQL | Vulnerabilidade | 211 |
| Ignorar autorização | Vulnerabilidade | 8 |
| injeção imediata | comportamento malicioso | 185 |
Os servidores MCP servem como uma ponte crucial entre agentes de IA e recursos sensíveis, como sistemas de arquivos, bancos de dados, APIs e ambientes de nuvem, permitindo que “fluxos de trabalho de agentes” executem código e automatizem tarefas. No entanto, esse acesso privilegiado também expande a superfície de ataque.
O estudo constatou que as vulnerabilidades frequentemente ocorrem em conjunto, com padrões como acesso arbitrário a arquivos combinado com autenticação ausente, evidenciando falhas sistêmicas na validação de entrada e em práticas de design seguro, em vez de erros de codificação isolados.
As principais combinações de problemas de segurança (Fonte: Trend AI Security)
Contrariamente ao que se supõe geralmente, a análise demonstrou não haver correlação significativa entre a popularidade de um servidor e sua segurança. Servidores com alta popularidade (mais de 50 estrelas no GitHub) frequentemente representam o maior risco devido à sua ampla adoção, aumentando assim o impacto de uma única vulnerabilidade.
Esses servidores geralmente apresentam falhas de SSRF, injeção de prompts e acesso a arquivos, associadas a integrações ricas em recursos. Servidores de nível intermediário (10 a 49 estrelas) dominam o ecossistema em volume e apresentam a maior diversidade de vulnerabilidades, enquanto repositórios de baixa popularidade e sem estrelas, frequentemente experimentais ou de uso privado, ainda contêm problemas graves, como falhas de execução de comandos, apesar da visibilidade limitada.
Da mesma forma, a atividade do repositório, medida pelo histórico de commits, não indicou melhoria na segurança. Projetos altamente ativos, com mais de 100 commits, apresentaram taxas de vulnerabilidade comparáveis às de projetos menos ativos, sugerindo que o aumento da complexidade de desenvolvimento introduz mais vetores de ataque sem necessariamente melhorar os controles de defesa.
Mesmo os mecanismos de verificação implementados pelos diretórios MCP, incluindo ferramentas de inspeção de código e validação de propriedade, não reduziram significativamente o risco, já que os servidores verificados apresentaram um número médio de vulnerabilidades quase igual ao dos servidores não verificados.
O estudo da Trend AI Security também destaca cenários de risco do mundo real em vários domínios. Em servidores MCP focados em criptomoedas e DeFi, os pesquisadores identificaram vulnerabilidades de injeção de modelo no lado do servidor que permitem a execução remota de código, bem como falhas de injeção de prompt que podem manipular o comportamento do agente de IA.
Em ambientes corporativos, servidores MCP projetados para conectividade com bancos de dados expuseram vulnerabilidades de injeção de SQL e consultas não autenticadas ao Active Directory, permitindo potencialmente que invasores realizassem reconhecimento ou escalassem privilégios por meio de consultas em linguagem natural processadas por sistemas de IA.
Uma descoberta particularmente preocupante é o surgimento do “alcance ponderado pela gravidade”, em que servidores altamente populares com múltiplas vulnerabilidades representam um risco sistêmico desproporcional devido à sua ampla implantação. Servidores que expõem diversas ferramentas de MCP aumentam ainda mais a superfície de ataque, tornando a exploração mais escalável e impactante em organizações que dependem de infraestrutura de IA compartilhada.
A pesquisa destaca um problema mais amplo do setor: a falta de validação consistente de entradas e práticas de desenvolvimento seguras em todo o ecossistema MCP. A maioria das vulnerabilidades foi categorizada como falhas introduzidas pelos desenvolvedores, em vez de comportamento malicioso intencional. No entanto, a injeção imediata continua sendo um vetor de ameaça emergente em ambientes integrados ao LLM.
Especialistas em segurança alertam que as organizações devem abandonar as suposições baseadas na confiança ao integrar servidores MCP de terceiros e adotar uma abordagem de confiança zero.
Isso inclui a realização de auditorias de código, a aplicação de autenticação e do princípio do menor privilégio, a validação de todas as entradas e a implementação de inspeção de tráfego em tempo real para detectar comportamentos anômalos. À medida que o MCP continua a sustentar a evolução da automação orientada por IA, as descobertas enfatizam que a segurança deve evoluir juntamente com a funcionalidade para evitar a exploração em larga escala de sistemas de IA interconectados.
Fonte: GBHackers por Divya
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Pessoas estão armazenando grandes volumes de dados em smartphones
- Estado do Ransomware em 2026
- CISA alerta para que correção de falhas do SharePoint
- Microsoft corrige várias falhas do RDP
- Hackers abusam de códigos OAuth e cadastro do Entra IDs
- IA amplia pressão sobre equipes de segurança e vulnerabilidades críticas dobram
- A era do dashboard perfeito acabou
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC


Be the first to comment