O Protocolo de Contexto de Modelo (MCP) está enfrentando um escrutínio renovado depois que pesquisadores descobriram que sua versão inicial carecia de autenticação obrigatória, criando vulnerabilidades de segurança significativas. A pesquisa de Pynt, inicialmente relatada pela VentureBeat em outubro passado, indicou uma probabilidade de exploração de 92% ao implantar apenas 10 plug-ins MCP, com até mesmo um único plug-in representando um risco significativo.
A questão central, de acordo com especialistas, é que o MCP foi lançado sem autenticação integrada, uma falha que as estruturas de autorização introduzidas seis meses após sua implantação generalizada não conseguiram resolver totalmente. Merritt Baer, diretora de segurança da Enkrypt AI, já havia alertado sobre os perigos de padrões inseguros, afirmando: "O MCP está sendo lançado com o mesmo erro que vimos em todos os principais lançamentos de protocolo: padrões inseguros. Se não construirmos autenticação e privilégio mínimo desde o primeiro dia, estaremos limpando violações na próxima década."
O surgimento do Clawdbot, um assistente pessoal de IA viral que opera inteiramente no MCP, ampliou a ameaça. A capacidade do Clawdbot de gerenciar caixas de entrada e escrever código o tornou uma ferramenta popular, mas sua dependência do MCP significa que os desenvolvedores que o lançaram em servidores privados virtuais (VPS) sem configurações de segurança adequadas expuseram inadvertidamente suas empresas às vulnerabilidades do protocolo.
Itamar Golan, que antecipou esses problemas, vendeu sua participação em empreendimentos relacionados ao MCP antes que toda a extensão das falhas de segurança se tornasse amplamente conhecida. A situação destaca um problema recorrente na indústria de tecnologia: a pressa em chegar ao mercado muitas vezes leva a que a segurança seja tratada como uma reflexão tardia. Como Baer apontou, essa abordagem inevitavelmente resulta em limpezas dispendiosas e demoradas. A limpeza atual já está em andamento, e os desafios estão se mostrando mais significativos do que o inicialmente previsto. A indústria agora está lidando com as consequências de priorizar a velocidade em detrimento da segurança, uma lição que muitos esperam que informe os futuros lançamentos de protocolos.
Discussion
Join the conversation
Be the first to comment