Uma vulnerabilidade crítica foi descoberta em um protocolo de IA popular, e a Anthropic, empresa responsável por ele, não irá corrigi-la.

Pesquisadores de cibersegurança da OX Security descobriram uma vulnerabilidade no Protocolo de Contexto de Modelo (MCP) em nível de arquitetura. Ela afeta os SDKs oficiais para Python, TypeScript, Java e Rust. Soluções de software com 150 milhões de downloads e até 200 mil instâncias de servidor estão em risco. A Anthropic afirmou que nenhuma alteração no protocolo é necessária, pois esse comportamento é “esperado”.

Fonte da imagem: anthropic.com

A Anthropic introduziu o padrão aberto MCP em 2024, permitindo que modelos de IA se conectem a ferramentas externas, bancos de dados e APIs. No ano passado, a empresa contribuiu com o protocolo para a Agentic AI Foundation na Linux Foundation; o protocolo agora é usado pela OpenAI, Google e pela maioria das ferramentas de desenvolvimento de IA. A vulnerabilidade reside na forma como o MCP lida com as solicitações por meio da interface STDIO — as solicitações são passadas para o ponto de execução de comandos sem validação adicional. Isso significa que todo desenvolvedor que usa o MCP herda automaticamente essa vulnerabilidade.

Especialistas da OX Security identificaram quatro possíveis famílias de exploração para essa vulnerabilidade: injeção de código malicioso na interface do usuário sem autorização; burla de medidas de segurança em plataformas consideradas seguras, como o Flowise; injeção de solicitações maliciosas em IDEs, incluindo Windsurf e Cursor, que podem ser executadas sem interação do usuário; e distribuição de pacotes maliciosos por meio de plataformas MCP. Para validar sua hipótese, os pesquisadores implantaram com sucesso o payload de teste em 9 dos 11 registros MCP e confirmaram a capacidade de executar comandos em seis plataformas comerciais em funcionamento.

Pelo menos uma dúzia de vulnerabilidades privadas com classificações altas ou críticas foram identificadas durante a pesquisa. As vulnerabilidades no gateway LiteLLM (CVE-2026-30623) e na plataforma Bisheng (CVE-2026-33224) estão listadas como fechadas; a vulnerabilidade Windsurf (CVE-2026-30615), que permite a execução de código local sem intervenção do usuário, tem o status de “mensagem recebida” — o mesmo status das vulnerabilidades nos projetos de código aberto GPT Researcher, Agent Zero, LangChain-Chatchat e DocsGPT.

A OX Security, segundo sua própria declaração, recomendou repetidamente que a Anthropic corrigisse essas vulnerabilidades no nível do protocolo, por exemplo, permitindo solicitações apenas a partir do manifesto ou fornecendo uma lista de comandos permitidos no nível do SDK, mas a Anthropic recusou e não se opôs à divulgação da vulnerabilidade.

Enquanto isso, a própria Anthropic está investigando o acesso não autorizado ao modelo avançado Mythos. A empresa também já havia vazado o código-fonte do serviço Claude Code. A gestão do MCP foi transferida para a Linux Foundation, mas a Anthropic ainda mantém os SDKs de referência nos quais a vulnerabilidade foi descoberta. Até que o mecanismo STDIO seja alterado, os desenvolvedores precisarão implementar suas próprias ferramentas de sanitização de dados de entrada.