Investigadores de cibersegurança descobriram uma falha estrutural profunda na arquitetura do Model Context Protocol (MCP) que permite a execução remota de código, afetando toda a cadeia de abastecimento associada à inteligência artificial. A descoberta foi partilhada pela equipa da OX Security, que alerta para o efeito cascata desta vulnerabilidade em sistemas globais.
O impacto direto na cadeia de abastecimento de inteligência artificial
O problema central reside na forma como a implementação do MCP foi desenhada, permitindo que atacantes executem comandos arbitrários em qualquer sistema que corra uma versão vulnerável deste protocolo. Esta vulnerabilidade garante o acesso direto a dados sensíveis dos utilizadores, chaves de API, bases de dados internas e históricos de conversação.
A falha está presente no kit oficial de desenvolvimento de software (SDK) da Anthropic, independentemente da linguagem de programação utilizada, incluindo opções populares como Python, TypeScript, Java e Rust. No total, a ameaça afeta mais de 7000 servidores acessíveis publicamente e pacotes de software que somam mais de 150 milhões de transferências.
A origem técnica desta ameaça está ligada às configurações padrão inseguras na interface de transporte STDIO (entrada/saída padrão) do MCP. A análise resultou na identificação de dez vulnerabilidades que afetam projetos amplamente conhecidos, como o LiteLLM, LangChain, Flowise, LettaAI, LangBot e Windsurf. Os investigadores da equipa responsável pela descoberta, Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar, explicaram que o protocolo permite a execução direta de comandos através desta interface. Na prática, qualquer comando arbitrário de sistema operativo pode ser corrido, uma vez que a criação bem-sucedida de um servidor STDIO devolve o controlo ao modelo de linguagem.
A resposta da empresa e as medidas de proteção recomendadas
Apesar dos relatos e da descoberta de vulnerabilidades baseadas neste mesmo problema ao longo do último ano, como aconteceu em projetos como o Cursor e o LibreChat, a criadora do protocolo recusou-se a alterar a arquitetura. A empresa classificou o comportamento como sendo o esperado, o que significa que o código de referência oficial permanece sem alterações, forçando alguns fornecedores a lançar correções de forma independente. Como consequência, os programadores continuam a herdar os riscos de execução de código presentes na base do projeto.
Para atenuar os riscos associados a estas integrações, os especialistas recomendam o bloqueio do acesso público via IP a serviços sensíveis e a monitorização constante das invocações de ferramentas do MCP. Adicionalmente, os serviços compatíveis com o protocolo devem correr em ambientes isolados, as configurações externas devem ser tratadas como não confiáveis e a instalação de servidores MCP deve limitar-se a fontes devidamente verificadas.
Nenhum comentário
Seja o primeiro!