Vulnerabilidade no MCP da Anthropic permite execução remota de código e ameaça cadeia de suprimentos de IA

Uma vulnerabilidade crítica no Protocolo de Contexto de Modelo (MCP, na sigla em inglês) está colocando em risco toda a cadeia de suprimentos de inteligência artificial — e o pior é que o problema não veio de um erro de programação descuidado, mas sim de uma decisão deliberada de design.

Pesquisadores da OX Security identificaram a falha diretamente no SDK oficial da Anthropic, a empresa por trás do Claude. Isso significa que o problema não está em um plugin de terceiro ou em alguma configuração mal feita por um desenvolvedor. Está no código base que todo mundo usa como referência. 😬

E os números assustam um pouco:

• Mais de 7.000 servidores públicos expostos
• Mais de 150 milhões de downloads afetados
• Projetos conhecidos como LiteLLM, LangChain, LangFlow, Flowise, LettaAI e LangBot na lista de impactados

A falha permite a execução remota de código (RCE) em qualquer sistema que rode uma implementação vulnerável do MCP, dando a atacantes acesso direto a dados sensíveis, chaves de API, históricos de conversas e bancos de dados internos.

Não é exagero dizer que esse é um dos cenários mais preocupantes para quem trabalha com segurança cibernética em ambientes de IA atualmente.

E a resposta da Anthropic sobre tudo isso? Bem, ela surpreendeu muita gente — e não da forma que se esperaria. 👇

O que é o MCP e por que ele importa tanto

O Protocolo de Contexto de Modelo é, essencialmente, a cola que conecta modelos de inteligência artificial a ferramentas externas, bancos de dados, APIs e sistemas corporativos. Pensa assim: se o modelo de linguagem é o cérebro, o MCP é o sistema nervoso que permite que esse cérebro interaja com o mundo ao redor.

Ele foi criado pela Anthropic para padronizar a forma como assistentes de IA se comunicam com recursos externos, e rapidamente se tornou um dos padrões mais adotados no ecossistema de desenvolvimento de IA. A ideia era boa — ter um protocolo único, bem documentado e mantido por uma empresa séria do setor.

• E-BOOK GRATUITO

Como Implementar as Melhores Ferramentas de IA

Um guia prático para avaliar, comparar e implementar inteligência artificial com clareza — sem desperdício de tempo ou dinheiro.

Pare de contratar ferramentas sem direção. Criamos um método estruturado para decidir qual IA realmente faz sentido para o seu negócio.

Baixar o Guia Completo (Grátis)

Entrega em PDF no seu e-mail · Sem spam · LGPD

Nome completo *

E-mail profissional *

Tamanho da Empresa *

Selecione…Empreendedor IndividualMicroempresaPequeno PorteMédio PorteEnterprise

Função *

Selecione…Gestor MarketingGestor VendasC-LevelSócio-ProprietárioAnalistaOutro

Segmento da Empresa *

Selecione…Construção Civil & ImóveisE-CommerceSoftware & InternetPalestras & ConteúdoAgência [Publicidade, Marketing, Tráfego, Comunicação]Outro

Fazer download

🔒 Seus dados são protegidos conforme a LGPD. Você pode descadastrar a qualquer momento.

O problema é que, quanto mais um padrão se espalha, maior é o impacto quando algo dá errado nele. E foi exatamente isso que aconteceu aqui. A adoção massiva do protocolo de contexto de modelo por projetos como LiteLLM, LangChain, LangFlow e Flowise transformou uma falha pontual em um problema de escala gigantesca. Cada um desses projetos tem suas próprias bases de usuários, seus próprios ambientes de produção e suas próprias integrações com sistemas críticos. Quando todos bebem da mesma fonte comprometida, o raio de dano se multiplica de forma exponencial.

Outro ponto importante é entender que o MCP não é uma tecnologia obscura ou experimental. Ele já está rodando em ambientes de produção reais, em empresas de diferentes tamanhos, conectado a sistemas com dados sensíveis de clientes, contratos, propriedade intelectual e muito mais. A falha identificada pela OX Security, portanto, não é um problema teórico ou de laboratório. É uma vulnerabilidade ativa, com vetor de ataque real, em sistemas que estão operando agora mesmo enquanto você lê esse texto.

Como a vulnerabilidade funciona na prática

Agora vamos ao que interessa: o mecanismo técnico por trás dessa falha. O problema está nos padrões inseguros de como a configuração do MCP funciona através da interface de transporte STDIO (standard input/output, ou entrada e saída padrão). Em termos mais acessíveis, o protocolo da Anthropic oferece um caminho direto de configuração para execução de comandos via a interface STDIO em todas as suas implementações, independentemente da linguagem de programação utilizada — seja Python, TypeScript, Java ou Rust.

De forma simplificada, esse código foi projetado para iniciar um servidor STDIO local e devolver o controle da comunicação para o modelo de linguagem. Mas na prática, como explicaram os pesquisadores Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar da OX Security, ele acaba permitindo que qualquer pessoa execute qualquer comando arbitrário no sistema operacional. Se o comando consegue criar um servidor STDIO, ele retorna normalmente. Se recebe um comando diferente, ele retorna um erro — mas somente depois que o comando já foi executado. Ou seja, o estrago já está feito antes de qualquer mensagem de falha aparecer.

Isso significa que, sem precisar de credenciais, sem precisar estar dentro da rede da empresa e sem deixar rastros óbvios, alguém mal-intencionado pode ganhar acesso ao ambiente de execução da aplicação.

O que torna isso ainda mais grave é o tipo de dado que fica exposto. Aplicações que utilizam o protocolo de contexto de modelo normalmente estão conectadas a fontes ricas de informação. Chaves de API de outros serviços, tokens de autenticação, históricos de conversas de usuários, conexões com bancos de dados internos — tudo isso fica potencialmente acessível a partir do momento em que um atacante consegue executar código no servidor. Não é preciso nem fazer um movimento lateral dentro da rede corporativa. A própria natureza do MCP, que foi projetado para dar ao modelo acesso amplo a recursos externos, acaba funcionando como um amplificador do dano causado pela exploração da falha.

As vulnerabilidades descobertas e os projetos afetados

A investigação da OX Security revelou 10 vulnerabilidades específicas, espalhadas por projetos amplamente utilizados na comunidade de IA. Todas elas se encaixam em quatro grandes categorias de ataque:

• Injeção de comando autenticada e não autenticada via MCP STDIO
• Injeção de comando não autenticada via configuração direta do STDIO, com bypass de mecanismos de proteção
• Injeção de comando não autenticada via edição de configuração do MCP através de injeção de prompt zero-click
• Injeção de comando não autenticada através de marketplaces do MCP via requisições de rede que ativam configurações ocultas de STDIO

Os CVEs (identificadores de vulnerabilidades) registrados incluem falhas em projetos bastante conhecidos:

• CVE-2025-65720 — GPT Researcher
• CVE-2026-30623 — LiteLLM (já corrigido)
• CVE-2026-30624 — Agent Zero
• CVE-2026-30618 — Fay Framework
• CVE-2026-33224 — Bisheng (já corrigido)
• CVE-2026-30617 — Langchain-Chatchat
• CVE-2026-33224 — Jaaz
• CVE-2026-30625 — Upsonic
• CVE-2026-30615 — Windsurf
• CVE-2026-26015 — DocsGPT (já corrigido)
• CVE-2026-40933 — Flowise

Um detalhe que chama atenção é que vulnerabilidades baseadas no mesmo problema central já vinham sendo reportadas de forma independente ao longo do último ano. Entre elas estão falhas no MCP Inspector (CVE-2025-49596), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) e até no Cursor (CVE-2025-54136). Isso mostra que o padrão problemático já estava dando sinais há algum tempo, mas ninguém conectou os pontos até agora. 👀

A resposta da Anthropic e o que ela revela sobre o ecossistema de IA

Aqui é onde a história fica realmente divisiva dentro da comunidade de segurança cibernética. A Anthropic, ao ser notificada sobre a vulnerabilidade, recusou-se a modificar a arquitetura do protocolo. A empresa classificou o comportamento como esperado — ou seja, na visão da Anthropic, o MCP está funcionando como foi projetado para funcionar.

Essa posição gerou bastante debate. Enquanto alguns dos fornecedores de projetos afetados já lançaram correções para suas implementações específicas, a falha permanece presente na implementação de referência do MCP da Anthropic. Na prática, isso significa que desenvolvedores que criam novas aplicações usando o SDK oficial continuam herdando os riscos de execução de código sem saber.

Essa situação levanta uma discussão importante sobre a maturidade do ecossistema de inteligência artificial em relação às práticas de segurança cibernética. O desenvolvimento de ferramentas de IA avançou numa velocidade impressionante nos últimos anos, e projetos como o MCP são reflexo disso. Mas velocidade e segurança muitas vezes caminham em sentidos opostos quando não há processos robustos de revisão de arquitetura antes de uma tecnologia ser lançada para adoção em massa.

A vulnerabilidade identificada não é resultado de um bug acidental e sim de uma decisão de design que não levou em conta adequadamente os vetores de ataque possíveis em ambientes hostis. Isso aponta para um problema estrutural que vai além do MCP e que afeta como a indústria de IA pensa — ou deixa de pensar — em segurança desde o início do ciclo de desenvolvimento.

Por que isso é um evento de cadeia de suprimentos e não apenas mais um CVE

A OX Security fez questão de enfatizar um ponto que merece destaque: isso não é simplesmente mais uma vulnerabilidade isolada. É um evento de cadeia de suprimentos.

Como os próprios pesquisadores colocaram: uma decisão arquitetural, tomada uma única vez, se propagou silenciosamente para cada linguagem suportada, cada biblioteca downstream e cada projeto que confiou que o protocolo era aquilo que aparentava ser.

Esse efeito cascata é exatamente o que transforma uma falha técnica em um problema sistêmico. Quando um SDK oficial, mantido por uma das maiores empresas de IA do mundo, carrega uma vulnerabilidade de design que permite execução remota de código, cada desenvolvedor que importa esse SDK para seu projeto está, sem saber, importando também o risco. E quando esses projetos são por sua vez utilizados como dependências por outros projetos, o problema se multiplica exponencialmente — criando uma teia de exposição que fica cada vez mais difícil de rastrear e remediar.

Os pesquisadores da OX Security foram diretos em sua conclusão: transferir a responsabilidade para os implementadores não transfere o risco. Apenas obscurece quem o criou. Essa frase resume bem a tensão que existe hoje no ecossistema de inteligência artificial quando o assunto é responsabilidade sobre segurança.

O que fazer para se proteger

Para os times de segurança que trabalham em empresas que adotaram soluções baseadas no protocolo de contexto de modelo, a mensagem prática é clara. Os pesquisadores recomendam uma série de medidas que podem ajudar a mitigar os riscos enquanto uma correção arquitetural definitiva não chega:

• Bloquear o acesso público por IP a serviços sensíveis conectados ao MCP
• Monitorar as invocações de ferramentas do MCP em tempo real para detectar comportamentos anômalos
• Rodar serviços habilitados com MCP em sandbox, isolando-os do restante da infraestrutura
• Tratar qualquer entrada de configuração externa do MCP como não confiável, aplicando validação rigorosa
• Instalar servidores MCP apenas de fontes verificadas e manter um controle rígido sobre atualizações

Além dessas medidas defensivas imediatas, vale a pena verificar qual versão do SDK está em uso em cada projeto e checar se os projetos específicos que sua organização utiliza — como LangChain, LiteLLM, LangFlow, Flowise ou qualquer outro — já disponibilizaram patches para as vulnerabilidades listadas. Três dos projetos afetados (LiteLLM, Bisheng e DocsGPT) já lançaram correções, mas os demais ainda permanecem vulneráveis no momento da publicação desta análise.

A execução remota de código é, historicamente, uma das classes de vulnerabilidade com maior potencial de dano real — e quando ela aparece em uma camada de infraestrutura tão central quanto o MCP, o esforço de resposta precisa ser proporcional à exposição. 🔒

O recado que fica para a indústria de IA

Essa descoberta da OX Security serve como um lembrete importante para todo o ecossistema de inteligência artificial. A corrida para lançar novos protocolos, ferramentas e integrações não pode atropelar os fundamentos de segurança cibernética que a indústria de software levou décadas para construir. Quando uma empresa com o peso e a influência da Anthropic define um padrão que é adotado por milhares de projetos e milhões de usuários, a responsabilidade sobre a segurança arquitetural desse padrão não pode ser delegada para quem está na ponta da cadeia.

Os desenvolvedores que constroem aplicações com IA precisam estar atentos a esses riscos e incorporar práticas de segurança desde o início dos seus projetos. E as empresas que mantêm protocolos amplamente adotados precisam tratar vulnerabilidades de design com a mesma seriedade que tratam bugs funcionais — especialmente quando o vetor de ataque é tão poderoso quanto a execução remota de código.

O mundo da inteligência artificial está evoluindo rápido demais para que segurança seja tratada como um problema de segunda categoria. E essa vulnerabilidade no MCP é uma prova concreta de que as consequências de ignorar esse princípio podem afetar literalmente milhões de sistemas ao redor do mundo.