Problemas de Segurança MCP: Os Riscos Ocultos que as Empresas Devem Abordar

À medida que as empresas expandem as implementações de agentes de IA, a infraestrutura que conecta modelos a ferramentas do mundo real está se tornando um limite de segurança crítico. O Protocolo de Contexto de Modelo (MCP) está no centro dessa mudança, permitindo interações estruturadas entre agentes, fontes de dados e sistemas externos. Embora acelere a integração e a orquestração, também introduz uma nova camada de risco que muitas organizações estão apenas começando a compreender.

Essa lacuna entre a velocidade de adoção e a prontidão de segurança é onde residem os riscos de segurança do MCP. O protocolo de contexto padroniza como os agentes de IA se conectam a ferramentas e fontes de dados. O que ele não faz é impor como essas conexões são protegidas. Autenticação, controle de acesso e registro de auditoria não são incorporados. As organizações precisam adicionar essa camada por conta própria, e a maioria não o fez.

Este guia aborda o que são, de fato, os riscos de segurança do MCP, as vulnerabilidades específicas que afetam as implementações empresariais atualmente, por que as ferramentas tradicionais de segurança de aplicativos não conseguem lidar com elas e como é uma implementação devidamente governada na prática.

Agents Acting on Your Infrastructure Need More Than a Protocol to Stay Safe

TrueFoundry's MCP Gateway adds OAuth identity injection, schema validation, and PII redaction to every agent tool call

Book a Demo

O Que São Riscos de Segurança do MCP?

Os riscos de segurança do MCP são vulnerabilidades que surgem quando agentes de IA autenticam, autorizam e trocam dados através de servidores MCP sem uma camada secundária de governança. Embora o protocolo defina como as mensagens são formatadas e trocadas entre clientes e servidores, ele permanece omisso quanto à aplicação da segurança.

Quando as equipes implementam servidores MCP sem controles externos, elas criam "portas abertas" em sua infraestrutura:

• Requisições Não Verificadas: Servidores que aceitam instruções sem confirmar a identidade do solicitante.
• Chamadas de Ferramentas Não Autorizadas: Servidores que executam ações (como excluir dados) sem verificar se o agente tem permissão para fazê-lo.
• Violações Invisíveis: A falta de trilhas de auditoria que deixa as equipes de segurança cegas quando algo dá errado.

A Trend Micro encontrou recentemente 492 servidores MCP expostos à internet sem autenticação. Esse padrão reflete uma tendência perigosa: adotar um protocolo por sua capacidade em alta velocidade sem um investimento paralelo em governança.

Configurações incorretas agravam o problema. À medida que as equipes ativam mais servidores em ambientes de nuvem, elas levam para a produção configurações padrão que eram adequadas para o desenvolvimento local. O comportamento não monitorado dos agentes de IA faz o resto. A lacuna estrutural entre o que o protocolo oferece e o que as implementações de produção exigem é onde atores maliciosos encontram uma brecha.

Os Principais Problemas de Segurança do MCP que Ameaçam as Empresas

Protocolo de Contexto de Modelo funciona puramente como uma camada de transporte, não como uma estrutura de segurança integrada. Embora padronize como os sistemas de IA se conectam a ferramentas e dados externos, ele deixa a proteção inteiramente para a infraestrutura circundante. 

Como resultado, quando esses controles são fracos ou ausentes, as implementações empresariais tendem a expor quatro categorias de risco de segurança recorrentes.

Acesso de Servidor com Privilégios Excessivos

Desenvolvedores configuram servidores MCP com permissões amplas durante a prototipagem para evitar erros de autorização, violando o princípio do menor privilégio. Essas permissões raramente são restringidas antes da produção.

Por exemplo, um agente de IA construído para resumir tickets do Jira pode ter as credenciais para excluí-los, fechar projetos ou modificar permissões se o servidor subjacente foi configurado com acesso de administrador e nunca foi restrito.

Quando um invasor ou uma instrução injetada compromete esse agente, eles herdam todo o escopo do que o servidor pode fazer. O raio de impacto é determinado pela forma como o controle de acesso foi superprovisionado, e não pelo que o agente deveria realmente fazer.

Injeção de Prompt Levando a Ações Não Autorizadas

A injeção de prompt em ambientes MCP é diferente da manipulação básica de chatbots. Quando um agente de IA pode executar ações, uma instrução injetada não apenas produz uma resposta ruim. Ela aciona operações reais contra sistemas externos.

Atores maliciosos incorporam instruções em documentos, tickets de suporte, e-mails ou páginas da web que o agente processa. O incidente do Supabase Cursor em junho de 2025, onde um agente de IA com acesso de função de serviço processou tickets de suporte contendo instruções SQL, é um exemplo claro. Ele leu e vazou tokens de integração para um tópico público. Nenhuma violação de rede. Nenhum malware. Apenas texto que o agente tratou como um comando.

O incidente do GitHub MCP em maio de 2025 seguiu o mesmo padrão: injeção indireta de prompt em Issues públicos exfiltrou código de repositório privado. 

O OWASP Top 10 para grandes modelos de linguagem classifica a injeção de prompt como a vulnerabilidade número um por essa razão, tornando-o o principal risco de segurança MCP que as empresas devem abordar na camada de infraestrutura. 

Falsificação de Requisição do Lado do Servidor (SSRF) e Exfiltração de Dados

Servidores MCP estão profundamente inseridos em redes corporativas, onde podem acessar bancos de dados internos, sistemas de arquivos e infraestrutura de nuvem. Esse posicionamento é o que os torna úteis. É também o que torna o SSRF perigoso quando segurança MCP os controles estão ausentes.

A BlueRock Security analisou mais de 7.000 servidores MCP e descobriu que 36,7% eram potencialmente vulneráveis a SSRF. Em sua prova de conceito contra o servidor MCP MarkItDown da Microsoft, pesquisadores recuperaram chaves de API AWS IAM, chaves secretas e chaves SSH diretamente do endpoint de metadados da instância EC2. O servidor buscou URLs arbitrárias sem validação.

Um agente de IA comprometido usando um servidor vulnerável a SSRF não precisa violar seu perímetro diretamente. Ele instrui o servidor a buscar recursos internos e expõe dados sensíveis através de uma resposta de saída. A partir daí, atores maliciosos podem mapear a arquitetura interna e encontrar pontos de entrada adicionais.

Para uma análise mais aprofundada de ferramentas e estratégias de mitigação, consulte nosso guia sobre melhores ferramentas de segurança MCP.

Proliferação Fragmentada de Credenciais

Sem um gateway centralizado, cada agente de IA gerencia suas próprias credenciais. Chaves de API residem em variáveis de ambiente. Tokens OAuth são armazenados no arquivo de configuração. Segredos estáticos de longa duração se acumulam em servidores porque a rotação deles exige rastrear todos os locais onde residem.

A CVE-2025-6514 no mcp-remote, um proxy OAuth com mais de 558.000 downloads, demonstrou a dimensão da cadeia de suprimentos dos riscos de segurança MCP. Um servidor MCP malicioso poderia enviar uma URL de autorização forjada que o mcp-remote passaria diretamente para o shell do sistema, alcançando a execução remota de código e expondo todas as credenciais naquela máquina.

Muitos servidores MCP armazenam tokens de serviço em texto simples ou memória. Um único servidor comprometido vaza todos os tokens que possui. Quando as credenciais estão espalhadas, não há um único lugar para rotacioná-las e nenhuma maneira confiável de verificar se a rotação foi concluída.

O Impacto Operacional das Vulnerabilidades de Agentes

As equipes de segurança que lidavam com violações tradicionais de chamadas de API tinham caminhos forenses claros. Uma solicitação chegava. Era registrada. Era possível rastrear o que aconteceu. O MCP quebra esse modelo.

Ataques de injeção de prompt indireta não deixam uma pegada óbvia. O agente de IA comportou-se exatamente como seus logs sugerem: leu um documento e executou uma chamada de ferramenta. O fato de o documento conter prompts maliciosos é invisível para ferramentas de monitoramento que apenas observam padrões de rede anômalos.

O envenenamento de memória agrava isso. Pesquisadores documentaram ataques onde código malicioso injetado no contexto de um agente ao longo de múltiplas interações muda gradualmente o comportamento do agente sem que nenhuma interação individual pareça suspeita. O Projeto MCP Vulnerável, mantido por 32 pesquisadores da SentinelOne, Snyk, Trail of Bits e CyberArk, agora rastreia 50 vulnerabilidades em todo o ecossistema MCP, 13 delas críticas.

O Cisco State of AI Security 2026 report descobriu que apenas 29% das organizações se sentem preparadas para proteger aplicações de IA agentivas. Os outros 71% estão executando agentes de IA que não conseguem monitorar adequadamente, criando riscos de segurança significativos em suas fontes de dados externas e conexões de acesso ao sistema de arquivos.

Por que as Ferramentas de Segurança Tradicionais Falham

A maioria das empresas primeiro aplica a infraestrutura de segurança existente a implantações de MCP. Isso não funciona, e entender o porquê é importante antes de escolher o que usar em seu lugar.

Gateways de API Legados Carecem de Contexto Semântico

Gateways de API tradicionais inspecionam o tráfego HTTP. Eles verificam cabeçalhos, impõem limitação de taxa e verificam tokens de autenticação da camada de transporte. Eles não conseguem ler o conteúdo do payload de entrada de um usuário para determinar se a instrução que ele contém é legítima ou injetada.

Uma tarefa de agente de IA que aciona 20 chamadas de ferramenta sequenciais, vista no nível da rede, parece 20 requisições HTTP autenticadas. Nenhuma delas acionou um limite de limitação de taxa. Nenhuma falha nas verificações de cabeçalho. O gateway vê tráfego limpo o tempo todo. A injeção de prompt indireta ocorreu três camadas acima, dentro de um documento que o agente processou.

Escrever middleware personalizado para tornar gateways legados cientes de assistentes de IA é um beco sem saída. Exige manutenção constante à medida que o comportamento do agente evolui, produzindo uma cobertura frágil que atores maliciosos podem contornar. 

Plataformas de IA SaaS Introduzem Riscos de Saída de Dados

Plataformas de orquestração de aplicações de IA gerenciadas resolvem o problema de implantação, mas criam um diferente. Quando o tráfego interno do MCP é roteado através de uma camada SaaS de terceiros para aplicar controles de segurança, seus dados proprietários, dados externos, solicitações de ferramentas e saídas de agentes de IA deixam o perímetro da sua rede a cada interação.

Para organizações de saúde, serviços financeiros ou governamentais, isso é uma violação de conformidade independentemente de o fornecedor SaaS ser confiável. A HIPAA não permite que PHI transite por infraestrutura de terceiros não aprovada. A GDPR exige controle demonstrável sobre onde os dados do usuário fluem. Uma camada de roteamento SaaS quebra ambos.

Essas plataformas também tendem a bloquear os recursos que você realmente precisa — controles de segurança robustos, incluindo RBAC, registro de auditoria e controle de acesso por ferramenta — por trás de níveis de preços empresariais. A postura de segurança que você pode manter depende do seu nível de contrato. 

Your Security Team Deserves Full Visibility Into Every Agent Tool Call

Get OpenTelemetry-compliant audit trails, tool-level RBAC, and compliance-ready logging

Book a Demo

Como a TrueFoundry Resolve Problemas de Segurança do MCP?

A abordagem da TrueFoundry para a segurança do MCP é aplicar controles de segurança na camada de infraestrutura, dentro do seu ambiente, não roteados através de um ambiente de terceiros. O gateway MCP é implementado inteiramente dentro da sua conta AWS, GCP ou Azure. 

Cada solicitação de agente de IA, chamada de ferramenta e interação de modelo permanece dentro do limite da sua rede, abordando riscos de segurança significativos de acesso a sistemas externos e recuperação de dados sem exceções de conformidade. 

Gateway Gerenciado Dentro da Sua VPC

Todo o tráfego MCP permanece dentro do seu perímetro. Nenhuma solicitação de descoberta, cargas úteis de ferramentas ou saídas de agentes de IA são roteadas através de infraestrutura externa. Isso elimina o risco de egresso de acesso a dados que acompanha as plataformas roteadas por SaaS e satisfaz os requisitos de residência de fontes de dados para indústrias regulamentadas sem processos de exceção ou controles compensatórios.

A Innovaccer processa cerca de 17 milhões de solicitações de inferência de IA por mês em fluxos de trabalho clínicos sob HIPAA, executando inteiramente dentro do seu ambiente AWS GovCloud. Cada interação permanece dentro do limite da sua nuvem. A evidência de auditoria está nos seus próprios logs, pronta para qualquer revisor que a solicite. É assim que as melhores práticas de segurança do MCP se parecem em escala empresarial.

Aplicação de RBAC por Servidor

As políticas de controle de acesso são aplicadas no nível da ferramenta antes que as solicitações cheguem a qualquer modelo ou servidor MCP, implementando as melhores práticas de segurança do MCP através do gateway de IA da TrueFoundry. Um agente de IA de suporte ao cliente vê ferramentas de consulta de CRM. Ele não vê operações de gravação de banco de dados. Um agente financeiro pode consultar registros de pagamento, mas não pode acionar transferências de saída.

A TrueFoundry se integra com Okta, Azure AD e configurações personalizadas de SSO. Os agentes de IA herdam as permissões exatas do usuário solicitante através de OAuth 2.0 fluxos On-Behalf-Of. Sem contas de serviço compartilhadas. Cada chamada de ferramenta é atribuída a uma identidade humana específica, resolvendo o problema do 'confused deputy' que torna a adoção do MCP em indústrias regulamentadas tão desafiadora.

Recursos Completos de Log de Auditoria

Cada solicitação é registrada com metadados completos: identidade do usuário, identidade do agente de IA, modelo, ferramenta, argumentos, resposta, latência, custo e qualquer política aplicada. Os logs são estruturados, retidos no seu próprio ambiente e exportáveis no formato JSON para integração com Grafana, Splunk, Datadog ou qualquer pipeline de observabilidade existente.

A Innovaccer usa a saída OpenTelemetry da TrueFoundry para alimentar painéis do Grafana em produção. Quando um auditor SOC 2 solicita evidências de controle de acesso ou uma revisão HIPAA exige prova de tratamento de informações confidenciais, a resposta está nos seus próprios logs e pode ser produzida imediatamente, sem depender de uma plataforma de terceiros para evidências de segurança do MCP.

Abstrações de Servidor Virtual

As implementações de ferramentas de backend ficam por trás de uma camada de abstração virtual no registro, protegendo contra riscos de segurança MCP da cadeia de suprimentos. Quando o serviço subjacente de uma ferramenta muda, ou quando uma instância de ferramenta MCP comprometida precisa ser substituída, a mudança ocorre no nível do registro sem afetar nenhum agente de IA que dependa dela.

Isso também aborda o problema de envenenamento de ferramentas. As definições de ferramentas são controladas por versão através do registro. Uma ferramenta que altera silenciosamente seus metadados de descrição após a instalação é detectável porque o registro mantém um histórico de como cada ferramenta se apresentava no momento do registro, eliminando os riscos de segurança MCP introduzidos por intenção maliciosa em componentes MCP de origem comunitária.

O TrueFoundry Agent Gateway estende essa proteção a fluxos de trabalho multiagente, impondo controle de acesso por agente e disjuntores que interrompem ações não intencionais antes que elas se espalhem por todo o ecossistema MCP.

Conclusão: Estabeleça Governança para Mitigar Riscos

O MCP foi construído para tornar os agentes de IA mais capazes. A segurança não fazia parte do design original. Essa lacuna é onde o risco empresarial reside atualmente, e não está se fechando sozinha. Entre janeiro e fevereiro de 2026, pesquisadores registraram 30 CVEs contra a infraestrutura MCP em 60 dias. O protocolo cresceu mais rápido do que as práticas de segurança que o cercam.

Preencher essa lacuna significa adicionar os controles que o protocolo não inclui: verificação de identidade em cada conexão, controle de acesso no nível da ferramenta, gerenciamento centralizado de credenciais, aprovação humana para operações destrutivas e logs de auditoria estruturados retidos dentro do seu próprio ambiente.

TrueFoundry fornece essa base. A governança é integrada à plataforma, não cobrada como um complemento. Seus dados permanecem na sua nuvem. Seu rastro de auditoria é seu. E você pode passar de uma coleção fragmentada de servidores MCP para um plano de controle governado e auditável sem reconstruir sua arquitetura de agente do zero.

Agende uma demonstração hoje para começar.