Vulnerabilidade Crítica Descoberta no MCP: Anthropic a Classifica como 'Comportamento Esperado'
Pesquisadores da OX Security identificaram uma falha grave na arquitetura do Model Context Protocol (MCP) da Anthropic, que permite a execução remota de comandos. A empresa, no entanto, considera o comportamento 'esperado', gerando preocupações na comunidade de cibersegurança.
MundiX News·02 de maio de 2026·5 min de leitura·👁 6 views
Pesquisadores da OX Security descobriram uma vulnerabilidade crítica na arquitetura do Model Context Protocol (MCP), um protocolo aberto desenvolvido pela Anthropic para permitir que agentes de IA interajam com dados e sistemas externos. A falha permite a execução de comandos arbitrários e afeta mais de 7.000 servidores públicos.
O problema reside nas configurações padrão inseguras da interface de transporte STDIO (standard input/output), que o MCP utiliza para a comunicação local entre a aplicação de IA e o servidor MCP. A intenção dos desenvolvedores era que o STDIO iniciasse o servidor MCP como um subprocesso e retornasse seu handle para a LLM. No entanto, na prática, o mecanismo permite a execução de comandos arbitrários no nível do sistema operacional. Se um comando for bem-sucedido na criação de um servidor STDIO, um handle é retornado; caso contrário, um erro é retornado, mas o comando já foi executado.
A vulnerabilidade afeta o SDK oficial para todas as linguagens suportadas (Python, TypeScript, Java e Rust), significando que qualquer desenvolvedor que utilize o SDK herda o problema. As estimativas dos pesquisadores indicam que pacotes e servidores com mais de 150 milhões de downloads totais estão em risco.
Adicionalmente, durante a pesquisa, foram identificadas dez vulnerabilidades em projetos populares, incluindo LiteLLM, LangChain, LangFlow, Flowise, GPT Researcher, Agent Zero e Windsurf, entre outros. Estas foram atribuídas aos identificadores CVE-2025-65720 a CVE-2026-40933, com patches disponíveis apenas para três delas até o momento: LiteLLM (CVE-2026-30623), Bisheng (CVE-2026-33224) e DocsGPT (CVE-2026-26015).
As vulnerabilidades encontradas foram categorizadas em quatro tipos:
Injeção de Comandos Clássica: Com ou sem autenticação, permitindo a execução direta de comandos no servidor.
Injeção com Bypass de Hardening: Em projetos como Upsonic e Flowise, onde os desenvolvedores restringiram a lista de comandos permitidos (python, npm, npx), os pesquisadores conseguiram contornar a proteção injetando comandos através de argumentos, como npx -c <command>.
Injeção de Prompt Zero-Click: Em IDEs e assistentes de IA (Windsurf, Claude Code, Cursor, Gemini-CLI, GitHub Copilot), onde o prompt do usuário afeta diretamente a configuração do MCP. Apenas para Windsurf foi atribuído um CVE (CVE-2026-30615), pois outros fornecedores consideraram isso um problema conhecido.
Ataque via Marketplaces de Servidores MCP: Os pesquisadores conseguiram "envenenar" 9 de 11 marketplaces com um Proof of Concept (PoC) que não continha malware real. "Entre os marketplaces que aceitaram nossa submissão, estavam plataformas com centenas de milhares de visitantes mensais", alertam os pesquisadores. "Um servidor MCP malicioso em qualquer um desses diretórios pode ser instalado por milhares de desenvolvedores antes que [o ataque] seja descoberto, e cada instalação dessas daria aos atacantes a capacidade de executar comandos arbitrários na máquina do desenvolvedor."
Os pesquisadores relatam que contataram repetidamente a Anthropic solicitando a correção do problema arquitetural no nível do protocolo. No entanto, os desenvolvedores rejeitaram essas propostas, afirmando que tal comportamento era "esperado" (expected).
Curiosamente, uma semana após o primeiro contato dos pesquisadores, a Anthropic atualizou sua política de segurança, adicionando um aviso sobre a necessidade de usar adaptadores STDIO com cautela. Os pesquisadores consideram que este aviso não resolveu o problema.
A OX Security acredita que uma única mudança arquitetural no nível do protocolo protegeria todos os projetos downstream, desenvolvedores e usuários finais. Em contraste, transferir a responsabilidade para desenvolvedores terceirizados não elimina os riscos, apenas mascara sua origem.
Os pesquisadores recomendam bloquear o acesso a serviços MCP a partir de IPs públicos, monitorar chamadas de ferramentas MCP, executar serviços MCP em um sandbox, considerar quaisquer configurações externas do MCP como não confiáveis e instalar servidores MCP apenas de fontes confiáveis.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da OX Security descobriram uma vulnerabilidade crítica na arquitetura do Model Context Protocol (MCP), um protocolo aberto desenvolvido pela Anthropic para permitir que agentes de IA interajam com dados e sistemas externos. A falha permite a execução de comandos arbitrários e afeta mais de 7.000 servidores públicos.
O problema reside nas configurações padrão inseguras da interface de transporte STDIO (standard input/output), que o MCP utiliza para a comunicação local entre a aplicação de IA e o servidor MCP. A intenção dos desenvolvedores era que o STDIO iniciasse o servidor MCP como um subprocesso e retornasse seu handle para a LLM. No entanto, na prática, o mecanismo permite a execução de comandos arbitrários no nível do sistema operacional. Se um comando for bem-sucedido na criação de um servidor STDIO, um handle é retornado; caso contrário, um erro é retornado, mas o comando já foi executado.
A vulnerabilidade afeta o SDK oficial para todas as linguagens suportadas (Python, TypeScript, Java e Rust), significando que qualquer desenvolvedor que utilize o SDK herda o problema. As estimativas dos pesquisadores indicam que pacotes e servidores com mais de 150 milhões de downloads totais estão em risco.
Adicionalmente, durante a pesquisa, foram identificadas dez vulnerabilidades em projetos populares, incluindo LiteLLM, LangChain, LangFlow, Flowise, GPT Researcher, Agent Zero e Windsurf, entre outros. Estas foram atribuídas aos identificadores CVE-2025-65720 a CVE-2026-40933, com patches disponíveis apenas para três delas até o momento: LiteLLM (CVE-2026-30623), Bisheng (CVE-2026-33224) e DocsGPT (CVE-2026-26015).
As vulnerabilidades encontradas foram categorizadas em quatro tipos:
Injeção de Comandos Clássica: Com ou sem autenticação, permitindo a execução direta de comandos no servidor.
Injeção com Bypass de Hardening: Em projetos como Upsonic e Flowise, onde os desenvolvedores restringiram a lista de comandos permitidos (python, npm, npx), os pesquisadores conseguiram contornar a proteção injetando comandos através de argumentos, como npx -c <command>.
Injeção de Prompt Zero-Click: Em IDEs e assistentes de IA (Windsurf, Claude Code, Cursor, Gemini-CLI, GitHub Copilot), onde o prompt do usuário afeta diretamente a configuração do MCP. Apenas para Windsurf foi atribuído um CVE (CVE-2026-30615), pois outros fornecedores consideraram isso um problema conhecido.
Ataque via Marketplaces de Servidores MCP: Os pesquisadores conseguiram "envenenar" 9 de 11 marketplaces com um Proof of Concept (PoC) que não continha malware real. "Entre os marketplaces que aceitaram nossa submissão, estavam plataformas com centenas de milhares de visitantes mensais", alertam os pesquisadores. "Um servidor MCP malicioso em qualquer um desses diretórios pode ser instalado por milhares de desenvolvedores antes que [o ataque] seja descoberto, e cada instalação dessas daria aos atacantes a capacidade de executar comandos arbitrários na máquina do desenvolvedor."
Os pesquisadores relatam que contataram repetidamente a Anthropic solicitando a correção do problema arquitetural no nível do protocolo. No entanto, os desenvolvedores rejeitaram essas propostas, afirmando que tal comportamento era "esperado" (expected).
Curiosamente, uma semana após o primeiro contato dos pesquisadores, a Anthropic atualizou sua política de segurança, adicionando um aviso sobre a necessidade de usar adaptadores STDIO com cautela. Os pesquisadores consideram que este aviso não resolveu o problema.
A OX Security acredita que uma única mudança arquitetural no nível do protocolo protegeria todos os projetos downstream, desenvolvedores e usuários finais. Em contraste, transferir a responsabilidade para desenvolvedores terceirizados não elimina os riscos, apenas mascara sua origem.
Os pesquisadores recomendam bloquear o acesso a serviços MCP a partir de IPs públicos, monitorar chamadas de ferramentas MCP, executar serviços MCP em um sandbox, considerar quaisquer configurações externas do MCP como não confiáveis e instalar servidores MCP apenas de fontes confiáveis.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
