Este post considera que você sabe o que é MCP. Ser não for esse o caso, então acesse aqui o Guia Completo de MCP (Model Context Protocol) para compreender do que se trata.
A pressa em adotar agentes inteligentes via Model Context Protocol (MCP) tem deixado de lado aspectos críticos de segurança. O caso recente envolvendo a integração do MCP no GitHub ilustra de forma clara os riscos dessa abordagem: uma vulnerabilidade séria permitiu que agentes fossem induzidos a acessar e vazar dados privados sem que o usuário percebesse ou tivesse autorizado. Nos links abaixo há ilustrações que explicam como funciona:
GitHub MCP Exploited: Accessing private repositories via MCP
Model Context Protocol has prompt injection security problems
O problema se manifesta por meio de ataques indiretos, como a injeção de comandos em prompts incluídos em issues públicas. Bastou que um agente fosse configurado para revisar issues abertas de um repositório público para que, de maneira silenciosa e automática, uma sequência de ações fosse disparada, resultando em um pull request contendo informações sensíveis, como nomes de repositórios privados e dados pessoais.
A falha não é apenas técnica, mas estrutural. A forma como o MCP foi implementado no GitHub concentra três fatores de alto risco em um único ponto: acesso direto a dados privados, suscetibilidade a instruções maliciosas e possibilidade de extração não autorizada de informações. Essa combinação cria um cenário propício a ataques, bastando manipulações simples via prompt injection para comprometer a privacidade dos usuários.
Medidas paliativas, como controles de permissões mais detalhados e monitoramento do comportamento dos agentes, são úteis a curto prazo, mas não resolvem a raiz do problema. O MCP, na forma atual, não foi projetado com segurança como princípio fundamental. E, embora se argumente que esse não seja o objetivo central do protocolo, a ausência de uma base segura o torna impraticável para aplicações críticas. Facilitar a integração não pode significar aceitar vulnerabilidades básicas como custo inevitável.
Enquanto o MCP não for redesenhado para incorporar segurança desde sua concepção, cada nova implementação amplia a superfície de ataque, expondo usuários e organizações a riscos reais. A evolução do protocolo deveria priorizar proteção desde o design. Até lá, a única postura sensata é adotar máxima cautela ao integrá-lo.
David Matos