Glossário de segurança Xygeni
Glossário de segurança de desenvolvimento e entrega de software

O que é o Protocolo de Contexto de Modelo (MCP)?

Explicação sobre a segurança do MCP #

O Protocolo de Contexto de Modelo não chegou com um aviso de segurança. Chegou como um avanço em produtividade, um standard que permite que os assistentes de IA vão além da janela de bate-papo e interajam diretamente com ferramentas, arquivos, APIs e pipelineQuando as equipes de segurança começaram a perguntar o que era MCP, ele já estava sendo executado em larga escala em ambientes de desenvolvimento.

Essa lacuna entre adoção e governança é exatamente onde os ataques à cadeia de suprimentos se concentram. Compreender o que é o Protocolo de Contexto de Modelo (MCP), como os servidores MCP funcionam e quais riscos eles representam é agora essencial. Requisito fundamental para qualquer equipe DevSecOps que opere em um ambiente nativo de IA..

O que é o Protocolo de Contexto de Modelo? Definição #

O Protocolo de Contexto de Modelo (MCP) é um protocolo aberto. standard Isso define como grandes modelos de linguagem se comunicam com ferramentas externas, fontes de dados e serviços. Enquanto um assistente de IA tradicional responde apenas com texto, um assistente habilitado para MCP pode realizar ações (ler arquivos, consultar APIs, executar comandos, instalar dependências e interagir com o sistema). CI/CD pipelines) através de uma interface estruturada que conecta o modelo ao ambiente do desenvolvedor.

O MCP foi introduzido pela Anthropic em novembro de 2024 e, desde então, foi adotado pelas principais ferramentas de programação de IA, incluindo Claude, Cursor, Windsurf e GitHub Copilot. Ele fornece uma linguagem comum para a comunicação entre IA e ferramentas, de forma semelhante a como o HTTP fornece um protocolo comum para a comunicação na web.

Se o assistente de IA é o cérebro, o servidor MCP é o sistema nervoso que o conecta ao conjunto de ferramentas de desenvolvimento.

Como isso funciona? #

O MCP opera através de uma arquitetura cliente-servidor com três componentes:

  • O host MCP O host é o aplicativo que o desenvolvedor utiliza, seja uma IDE como o VS Code, Cursor ou Windsurf, ou um assistente de IA como o Claude. O host gerencia as conexões com os servidores MCP e controla o que o modelo pode acessar.
  • O cliente MCP Reside dentro do host e mantém uma conexão direta com cada servidor MCP. Traduz as solicitações do modelo em chamadas de ferramentas estruturadas e retorna os resultados para o modelo.
  • O servidor MCP é a ponte para a capacidade externa. Ela expõe ferramentas, recursos e prompts que o modelo pode invocar. Um servidor MCP pode se conectar a um sistema de arquivos, um repositório GitHub, um banco de dados, um CI/CD plataforma ou scanner de segurança. Cada chamada de ferramenta feita pelo modelo passa pelo servidor MCP, que a executa e retorna o resultado.

Quando um desenvolvedor pede a um assistente de IA para analisar um projeto, corrigir uma vulnerabilidade ou instalar uma dependência, o modelo não executa essas ações diretamente. Ele envia uma solicitação estruturada ao servidor MCP relevante, que executa a ação usando ferramentas locais autorizadas e retorna o resultado.

MCP versus assistentes de IA tradicionais: o que mudou? #

Antes do MCP, os assistentes de programação com IA eram fundamentalmente passivos. Eles podiam ler o código que você colava no chat e sugerir alterações, mas não conseguiam agir diretamente sobre o seu ambiente. O MCP muda esse modelo completamente.

Essa diferença é importante para a segurança porque altera o alcance de um assistente de IA. Um assistente tradicional que dá conselhos ruins resulta em um ciclo de revisão de código. Um assistente com MCP habilitado que realiza uma ação incorreta (instalar uma dependência maliciosa, executar um script de compilação comprometido ou encaminhar credenciais para um endpoint externo) resulta em um incidente.

O MCP transforma assistentes de IA de consultores em operadores. Essa mudança exige os mesmos controles de segurança que você aplica a qualquer operador com acesso à sua infraestrutura.

O que é um servidor MCP? #

Um MCP O servidor é um processo leve que expõe funcionalidades. para clientes de IA compatíveis com MCP. Define um conjunto de ferramentas (ações discretas que o modelo pode invocar), juntamente com recursos que o modelo pode ler e modelos de solicitação que ele pode usar.
Os servidores MCP existem para uma ampla gama de integrações: acesso ao sistema de arquivos, GitHub, Slack, bancos de dados, scanners de segurança e CI/CD plataformas. Os desenvolvedores podem executar servidores MCP localmente, dentro da infraestrutura de sua organização, ou conectar-se a servidores MCP hospedados por terceiros, fornecidos por fornecedores externos.
É nessa última categoria que o risco de segurança se torna concreto. Um servidor MCP de terceiros é um processo externo com acesso ao ambiente do desenvolvedor. Pesquisas mostram que 5.5% dos servidores MCP públicos apresentam falhas de envenenamento de ferramentas e 43% apresentam vulnerabilidades de injeção de comandos, o que significa que uma parcela significativa dos servidores MCP disponíveis publicamente pode ser usada como arma para manipular o comportamento da IA, exfiltrar dados ou executar comandos não autorizados.

Riscos de segurança do MCP: o que as equipes de DevSecOps precisam saber #

O MCP introduz uma nova superfície de ataque que as ferramentas tradicionais de segurança de aplicativos não foram projetadas para cobrir. Os principais riscos são:

Servidores MCP sombra. Os desenvolvedores configuram servidores MCP localmente sem aprovação ou governança formal, criando uma lacuna no inventário. As equipes de segurança não podem proteger o que não conseguem ver.

Intoxicação por ferramentas. Um servidor MCP malicioso expõe ferramentas que parecem legítimas, mas executam ações prejudiciais quando invocadas pelo modelo. Como o modelo confia nas definições de ferramentas que recebe, ele pode invocar uma ferramenta infectada sem qualquer indicação visível de que algo está errado.

Injeção imediata via MCP. Conteúdo malicioso em arquivos, documentos ou respostas de API pode injetar instruções no contexto do modelo, manipulando seu comportamento. Um servidor MCP que lê conteúdo externo e o passa para o modelo sem sanitização é um vetor direto de injeção de prompts.

Manipulação de dependências. Servidores MCP que gerenciam a instalação de pacotes ou a resolução de dependências podem ser comprometidos para instalar pacotes maliciosos. Quando um agente de IA instala uma dependência de forma autônoma por meio de um servidor MCP, não há revisão humana entre o pacote malicioso e o sistema. pipeline.

Exposição de credenciais. Os servidores MCP frequentemente lidam com tokens de autenticação, chaves de API e variáveis ​​de ambiente. Uma configuração MCP insegura pode expor essas credenciais por meio do contexto do modelo ou por meio de logs.

Execução de ferramenta não autorizada. Sem listas de permissões rigorosas, um assistente com MCP habilitado pode invocar ferramentas que excedem seu escopo pretendido, modificando a infraestrutura de produção, acessando repositórios confidenciais ou fazendo chamadas de API para serviços externos.

Práticas recomendadas de segurança #

Garantir a segurança do MCP exige tratar cada servidor MCP como uma integração privilegiada, e não como uma mera conveniência para desenvolvedores.

  • Bloquear dependências maliciosas no ponto de extremidade. Quando um agente habilitado para MCP instala uma dependência, essa instalação deve ser interceptada e verificada antes da execução. A detecção baseada em assinaturas não é suficiente; pacotes maliciosos que visam ferramentas de IA estão sendo publicados mais rapidamente do que as assinaturas conseguem rastreá-los.
  • Inventariar todos os servidores MCP. Saiba quais servidores MCP estão configurados em seus ambientes de desenvolvimento, localmente e em seu CI/CD pipelines, e nas suas configurações de IDE. O Shadow MCP é o mesmo problema que o Shadow IT, com acesso direto às suas ferramentas.
  • Impor uma lista de permissões MCP. Somente servidores MCP aprovados devem ter permissão para serem executados. Qualquer servidor não aprovado que tente se conectar deve ser bloqueado no ponto de extremidade antes que possa interagir com o modelo.
  • Aplique o princípio do menor privilégio às definições da ferramenta MCP. Cada servidor MCP deve expor apenas as ferramentas necessárias para sua função específica. Um servidor de leitura de arquivos não deve expor recursos de instalação de pacotes.
  • Validar e higienizar o conteúdo transmitido pelo MCP. Qualquer conteúdo externo (arquivos, respostas de API, resultados de banco de dados) que passe por um servidor MCP e entre no contexto do modelo é um vetor potencial de injeção de prompts. Trate-o como entrada não confiável.
  • Monitore as interações do MCP em tempo de execução. Registre todas as chamadas de ferramentas que o modelo faz através dos servidores MCP. Padrões anômalos (invocações inesperadas de ferramentas, conexões de saída de ambientes de compilação, chamadas de ferramentas fora do horário normal de trabalho) são indicadores precoces de comprometimento.

Incidentes de segurança no mundo real #

A segurança do MCP não é teórica. No início de 2026, uma pesquisa da Queen's University documentou que as pilhas MCP têm uma 92% de probabilidade de exploração quando vários plugins são combinados. A campanha PromptMink (atribuída ao grupo Famous Chollima, patrocinado pelo Estado norte-coreano) criou especificamente pacotes npm maliciosos para enganar agentes de codificação de IA que operam por meio de interfaces semelhantes ao MCP, levando-os a instalar malware para roubo de credenciais. Os pacotes foram projetados para parecerem legítimos para os agentes de IA, mesmo quando um revisor humano os teria sinalizado.

Em junho, 2026, Xygeni confirmou os clusters ollama-helpers e openai-agents-helpers. (mais de 35 versões combinadas publicadas em ondas coordenadas) visando diretamente pacotes usados ​​em fluxos de trabalho de desenvolvimento de agentes onde conexões MCP são comuns. Quando um agente de IA instala uma dependência autonomamente por meio de um servidor MCP, não há revisão humana entre o pacote malicioso e sua execução.

O que é MCP no contexto da segurança da cadeia de suprimentos com IA? #

O MCP está na interseção da segurança da IA ​​e software supply chain securityÉ a camada que conecta os modelos de IA às ferramentas, repositórios e infraestrutura que definem a IA moderna. SDLC, o que a torna simultaneamente o ponto de integração mais poderoso e a superfície de ataque mais exposta no desenvolvimento nativo de IA.

A segurança de aplicativos tradicional para no repositório. O EDR monitora o sistema operacional. Nenhum dos dois foi projetado para entender servidores MCP, chamadas de ferramentas ou instalação de dependências mediada por IA. A lacuna entre eles é exatamente onde os ataques baseados em MCP atingem.

Garantir a segurança do MCP exige visibilidade sobre quais servidores do MCP estão em execução, quais ferramentas eles expõem, o que o modelo está invocando e se as dependências e os arquivos manipulados foram validados. Isso representa a combinação de inventário de IA, monitoramento comportamental e segurança da cadeia de suprimentos em um único problema.

Garantindo a proteção do MCP com a Xygeni
#

A segurança do MCP exige mais do que documentos de política e listas de verificação de melhores práticas. Requer visibilidade contínua de quais servidores MCP estão em execução em seus ambientes de desenvolvimento, monitoramento comportamental de cada chamada de ferramenta feita pelo modelo e a capacidade de bloquear dependências maliciosas no endpoint antes que sejam executadas, antes mesmo de existir uma assinatura. Compreender o que é o Protocolo de Contexto do Modelo (MCP) é fundamental.

Plataforma de segurança de IA da Xygeni Abrange toda a superfície de ataque do MCP: inventariando cada servidor MCP por meio do AI-SPM, detectando envenenamento de ferramentas, injeção de prompts e configurações inseguras do MCP por meio de varredura de segurança com IA alinhada ao OWASP MCP Top 10 e aplicando políticas no endpoint do desenvolvedor por meio do Shield, bloqueando servidores MCP não aprovados e dependências maliciosas antes que cheguem ao endpoint. pipeline.

Se suas equipes utilizam assistentes de codificação com IA, a camada MCP já faz parte da sua superfície de ataque. A questão é se você consegue enxergá-la.

Perguntas frequentes #

O que é MCP em IA?

MCP (Model Context Protocol) é um protocolo aberto. standard Isso permite que assistentes de IA se comuniquem com ferramentas externas, fontes de dados e serviços. Possibilita que os modelos de IA executem ações (ler arquivos, consultar APIs, instalar pacotes, executar comandos) por meio de uma interface estruturada, em vez de responder apenas com texto.

O MCP é seguro?

O MCP introduz riscos de segurança significativos se não for devidamente gerenciado. Pesquisas mostram 5.5% dos servidores MCP públicos apresentam falhas de envenenamento de ferramentas e 43% apresentam vulnerabilidades de injeção de comandos.Garantir a segurança do MCP exige inventariar todos os servidores MCP, aplicar listas de permissões, seguir o princípio do menor privilégio e monitorar as chamadas de ferramentas em tempo de execução.

Qual a diferença entre MCP e uma API tradicional?

Uma API tradicional é chamada por meio de código escrito e controlado por um desenvolvedor. Já as chamadas de ferramentas MCP são invocadas por um modelo de IA baseado em sua interpretação da tarefa. O modelo decide quais ferramentas chamar, em que ordem e com quais parâmetros, tornando as interações MCP mais difíceis de prever e auditar do que as chamadas de API tradicionais.

O que é envenenamento por ferramentas em MCP?

O envenenamento de ferramentas é um ataque no qual um servidor MCP malicioso expõe definições de ferramentas que parecem legítimas, mas executam ações prejudiciais quando invocadas pelo modelo. Como o modelo confia nas definições de ferramentas que recebe dos servidores MCP conectados, ele pode invocar uma ferramenta envenenada sem qualquer aviso visível.

O que é injeção imediata via MCP?

A injeção de código via MCP ocorre quando conteúdo malicioso em arquivos, documentos ou respostas de API (passados ​​por um servidor MCP para o contexto do modelo) manipula o comportamento do modelo. É o equivalente em MCP à injeção de SQL: entrada não confiável influenciando o comportamento de um sistema confiável.

Comece grátis

Comece gratuitamente.
Nenhum cartão de crédito é necessário.

Comece com um clique:

Essas informações serão salvas com segurança de acordo com o Termos de Serviço e Política de Privacidade

Captura de tela do aplicativo