36% dos servidores de agentes de IA estão abertos a ataques
Empresas no mundo inteiro correm para adotar agentes de inteligência artificial. O discurso é sedutor: software autônomo que pensa, decide e age por você, automatizando desde atendimento ao cliente até compras e pesquisa. No Brasil, onde startups e corporações aceleram a adoção de IA sem olhar para trás, quase ninguém pergunta sobre a infraestrutura que sustenta esses agentes. E essa infraestrutura está perigosamente quebrada.
36,7% dos servidores MCP têm falhas exploráveis
O Model Context Protocol (MCP) é o tecido conectivo entre agentes de IA e as ferramentas que eles utilizam: leitura de arquivos, consultas a bancos de dados, chamadas de API, execução de código. Pesquisadores de segurança da Equixly escanearam mais de 7.000 servidores MCP e descobriram que 36,7% eram vulneráveis a SSRF (server-side request forgery), um tipo de ataque em que o servidor é enganado para acessar recursos internos que jamais deveriam ser expostos.
Em uma prova de conceito contra o servidor MarkItDown da Microsoft, pesquisadores extraíram chaves de acesso AWS, chaves secretas e tokens de sessão de um endpoint de metadados EC2. Isso não é risco teórico: é tomada completa de uma conta na nuvem. A Trend Micro encontrou separadamente 492 servidores MCP expostos à internet sem qualquer autenticação. Sem senhas. Sem tokens. Portas escancaradas.
O marketplace de habilidades para agentes já está contaminado
Se servidores vulneráveis fossem o único problema, seria administrável. Só que a cadeia de suprimentos em si está envenenada. O estudo ToxicSkills da Snyk escaneou 3.984 skills de agentes no ClawHub (o maior marketplace de capacidades para agentes de IA) e encontrou que 36% continham técnicas de injeção de prompt. Entre essas, 1.467 carregavam cargas maliciosas ativas. No total, 534 skills (cerca de 13,4%) apresentavam ao menos uma vulnerabilidade crítica: distribuição de malware, roubo de credenciais ou instalação de backdoor.
Cada skill maliciosa confirmada combinava ataques no nível do código com injeção de prompt, atacando simultaneamente a camada de software e a camada de instrução em linguagem natural. Agentes de IA podem ser sequestrados 92% das vezes apenas por injeção de prompt. Adicione uma skill comprometida e o atacante controla o agente por completo.
Um agente comprometido custou US$ 3,2 milhões em 72 horas
Uma indústria de médio porte implantou um sistema de compras baseado em agentes. Atacantes comprometeram o agente de validação de fornecedores por meio de um ataque à cadeia de suprimentos do provedor de IA. O agente passou a aprovar pedidos de empresas de fachada controladas pelos invasores.
Como sistemas multiagente propagam decisões em cascata, o agente de pagamentos processou cada pedido fraudulento automaticamente. Quando a contagem de estoque revelou a discrepância, US$ 3,2 milhões já haviam sido transferidos para contas irrecuperáveis. A causa raiz: um único agente comprometido numa cadeia onde nenhum agente verificava os outros. Quando 65% das empresas não têm defesa contra injeção de prompt, a confiança entre agentes se torna o elo mais fraco.
Por que ninguém está verificando
O ecossistema MCP não possui processo obrigatório de revisão de segurança. Somente entre janeiro e fevereiro de 2026, pesquisadores registraram mais de 30 CVEs direcionados a servidores MCP, clientes e infraestrutura. Entre 2.614 implementações MCP analisadas, 82% usam operações de arquivo vulneráveis a ataques de travessia de diretório (path traversal). As vulnerabilidades não são exóticas: são as mesmas falhas do OWASP Top 10 que aplicações web combatem há duas décadas: injeção, autenticação quebrada, SSRF.
A diferença é velocidade. Ataques potencializados por IA superam equipes de segurança em 29 minutos, e servidores MCP dão aos atacantes um canal direto para sua infraestrutura em nuvem, bancos de dados e APIs internas. Empresas que adotam agentes de IA sem auditar seus servidores MCP estão fazendo o equivalente a conectar todos os sistemas internos à internet pública sem firewall. O problema de shadow AI que custa US$ 4,2 milhões por violação está prestes a piorar consideravelmente.
O que fazer agora
Três passos, começando hoje. Primeiro, audite cada servidor MCP ao qual sua organização se conecta. Verifique falhas de SSRF, travessia de diretório e lacunas de autenticação. O Vulnerable MCP Project mantém um banco de dados pesquisável de problemas conhecidos.
Segundo, trate skills de agentes de IA como dependências de código de terceiros. Escaneie antes de instalar. A pesquisa da Snyk mostra que inspeção visual não detecta quase nada; escaneamento automatizado é o mínimo aceitável.
Terceiro, implemente verificação entre agentes. Nenhum agente individual deveria ter autoridade para aprovar transações financeiras, acessar credenciais ou modificar infraestrutura sem confirmação independente de um segundo agente isolado.
A revolução dos agentes de IA é real. A crise na cadeia de suprimentos por baixo dela, também. As empresas que sobreviverão são aquelas que trataram sua infraestrutura de IA com o mesmo rigor que aplicam a qualquer outro software crítico.
Leitura relacionada:
Fontes e Referências
- BlueRock MCP Trust Registry: 36.7% of MCP Servers Exposed to SSRF — BlueRock Security analyzed 7,000+ MCP servers and found 36.7% potentially vulnerable to SSRF attacks, including a proof-of-concept against Markitdown MCP that retrieved AWS IAM credentials.
- MCP Security 2026: 30 CVEs in 60 Days — Between Jan-Feb 2026, 30+ CVEs were filed against MCP servers. 43% were exec/shell injection, 20% tooling infrastructure flaws, 13% authentication bypass.
- Three Flaws in Anthropic MCP Git Server Enable Code Execution — CVE-2025-68143/68144/68145 in Anthropic official Git MCP server enabled remote code execution via prompt injection.
- OWASP MCP Top 10 — OWASP published the MCP Top 10 security framework covering model misbinding, context spoofing, prompt-state manipulation, and covert channel abuse.
Conheça nossos padrões editoriais →
