No mundo da inteligência artificial, existe uma fronteira muito ténue entre aquilo que é uma vulnerabilidade perigosa e aquilo que os criadores de tecnologia chamam “comportamento esperado”. É precisamente nessa fronteira que vivemos hoje, com uma descoberta que coloca em risco mais de 200 000 servidores de agentes de IA em todo o mundo, incluindo sistemas utilizados por empresas e programadores portugueses e europeus.
O que é o protocolo MCP e porque é que isto importa
Para entender o problema, é necessário perceber primeiro o que é o MCP, sigla para “Model Context Protocol”. Trata-se de um protocolo criado pela Anthropic, a empresa por detrás do assistente de IA Claude, que funciona como uma linguagem universal para ligar modelos de inteligência artificial a ferramentas externas: bases de dados, ficheiros, serviços na nuvem, e muito mais.
Uma analogia útil é pensar no MCP como o sistema de tomadas elétricas de uma casa. Assim como uma tomada permite ligar qualquer eletrodoméstico à rede elétrica, o MCP permite ligar qualquer ferramenta a um modelo de IA. Quanto mais universal o sistema, mais coisas se conseguem ligar. Mas também maior é o risco se a tomada não tiver proteções adequadas.
A falha descoberta pela OX Security
A empresa de cibersegurança OX Security realizou uma auditoria detalhada ao ecossistema MCP e descobriu que a variante mais comum do protocolo, conhecida como “stdio” (que comunica diretamente com o sistema operativo através de texto simples), permite a execução de comandos arbitrários no servidor onde está instalada.
Por outras palavras, um agente de IA mal configurado ou comprometido pode, através desta via, dar instruções diretas ao computador que o aloja. Não estamos a falar de uma teoria abstracta: os investigadores demonstraram que é possível explorar esta característica para executar código não autorizado, aceder a ficheiros sensíveis ou movimentar-se lateralmente dentro de redes empresariais.
O número de servidores vulneráveis identificados ultrapassa os 200 000, um valor que reflete a rápida adoção do MCP desde o seu lançamento no final de 2024. Esta explosão de crescimento trouxe consigo uma proliferação de implementações que, na maioria dos casos, não foram configuradas com segurança em mente.
A resposta da Anthropic: “é uma funcionalidade, não um erro”
Aqui reside o ponto mais polémico desta história. Quando contactada pelos investigadores da OX Security, a Anthropic reconheceu o comportamento identificado mas classificou-o como uma característica intencional do protocolo, e não como uma vulnerabilidade a corrigir.
A justificação da empresa é que o MCP foi concebido precisamente para dar aos agentes de IA a capacidade de interagir profundamente com o sistema operativo e as suas ferramentas. Remover essa capacidade significaria tornar o protocolo menos útil para os casos de uso legítimos para os quais foi desenhado.
Esta posição não é inédita no mundo tecnológico. Trata-se de uma tensão clássica entre funcionalidade e segurança: uma porta que se abre facilmente é conveniente para quem mora na casa, mas é igualmente conveniente para quem quer entrar sem convite. A Anthropic optou por deixar a porta aberta e depositar a responsabilidade de trancá-la nos administradores de sistemas e programadores que implementam o protocolo.
Quem está em risco e o que pode ser feito
Os mais expostos são as organizações que adotaram agentes de IA baseados em MCP sem uma revisão de segurança adequada. Isto inclui startups tecnológicas, equipas de desenvolvimento que experimentam com automação por IA, e empresas que integram assistentes de IA nos seus fluxos de trabalho internos.
Os investigadores da OX Security recomendam um conjunto de medidas práticas. Em primeiro lugar, auditar todos os servidores MCP em funcionamento para identificar quais utilizam a variante stdio. Em segundo lugar, isolar esses servidores em ambientes controlados, sem acesso direto a redes sensíveis. Em terceiro lugar, implementar listas de permissões que restrinjam os comandos que um agente de IA pode executar, limitando assim o alcance de um eventual ataque.
Para os utilizadores comuns, a mensagem principal é de vigilância. À medida que as empresas integram cada vez mais agentes de IA nos seus serviços, é legítimo questionar que protocolos de segurança estão em vigor. Tal como se questiona a um banco se o dinheiro está protegido, faz sentido perguntar às plataformas de IA como protegem os sistemas que as suportam.
Um sinal dos tempos na corrida à IA
Este incidente é sintomático de uma tendência mais ampla na indústria de inteligência artificial: a velocidade de adoção está a superar a maturidade das práticas de segurança. O MCP foi lançado há menos de um ano e já se tornou um padrão de facto para a integração de agentes de IA. Esse crescimento acelerado traz consigo riscos que a comunidade de segurança está agora a começar a mapear.
A posição da Anthropic, que considera o comportamento identificado como intencional, coloca sobre os ombros da comunidade técnica a responsabilidade de construir as salvaguardas que o protocolo base não inclui. É uma abordagem que tem defensores e críticos, mas que, independentemente da posição de cada um, exige que programadores e administradores de sistemas tratem a segurança como uma prioridade desde o primeiro momento de implementação, e não como uma reflexão posterior.
Fonte: Notícia Original
