Voltar as noticias
As Ferramentas WebMCP Que Você Exclui Para Agentes Podem Ser Usadas Para Sequestrá-los
WebMCPAltaEN

As Ferramentas WebMCP Que Você Exclui Para Agentes Podem Ser Usadas Para Sequestrá-los

Search Engine Journal·12 de julho de 2026
As Ferramentas WebMCP Que Você Exponha Para Agentes Podem Ser Usadas Para Sequestrá-los

Adicione WebMCP ao seu site, e você entrega a agentes de IA visitantes um conjunto de ferramentas nomeadas para chamar. Essas mesmas ferramentas podem ser usadas para voltar os agentes contra as pessoas que as enviaram. O site de desenvolvedores do Chrome agora contém as orientações de segurança para WebMCP, e grande parte delas é escrita para os sites que expõem as ferramentas, em vez das empresas que constroem os agentes. Prepare seu site para agentes com WebMCP, e você também abriu uma superfície de ataque, e fechá-la é seu trabalho, não do agente.

Por dois anos, a conversa sobre a prontidão para agentes tem sido sobre acesso: Um agente pode acessar seu conteúdo, ler sua página, concluir sua compra? WebMCP é a versão onde você para de esperar que um agente descubra seu site a partir da marcação e começa a entregar ferramentas nomeadas para chamar. Esse é o protocolo mais útil, e é a direção que a camada de protocolo da web agentic está se movendo. É também onde ser legível para um agente e ser seguro para um agente deixam de ser a mesma propriedade.

O Chrome Nomeou Duas Maneiras Pelas Quais Agentes São Sequestrados Através do WebMCP

As orientações de segurança do agente do Chrome descrevem dois vetores de ataque, e ambos chegam através das ferramentas que um site expõe. O primeiro é o manifesto malicioso. Nas palavras do Chrome, "Sites podem ter definições de ferramentas com instruções ocultas, em nomes de ferramentas, parâmetros ou descrições, projetadas para sequestrar o agente." A descrição de uma ferramenta é o texto que o agente lê para decidir como usar a ferramenta, então uma descrição pode carregar uma instrução que o agente nunca deveria seguir.

O segundo vetor é aquele que a maioria dos sites realmente enfrentará, e não precisa de um site malicioso. O Chrome o chama de saída contaminada: "Respostas de ferramentas em tempo real de sites de outra forma confiáveis podem incluir instruções maliciosas como parte de dados de terceiros, como comentários de usuários." Uma ferramenta em seu próprio site que retorna suas avaliações de produtos, seus tópicos de comentários, suas postagens em fóruns ou suas respostas de suporte está retornando texto que outras pessoas escreveram. Se uma dessas pessoas plantou uma instrução dentro de uma avaliação, sua ferramenta legítima a entregou ao agente como se tivesse vindo de você. A carga é seu próprio conteúdo gerado pelo usuário, e você o convidou a entrar.

Isso funciona por causa de algo que não é um bug e não será corrigido. "Os LLMs tratam todo texto, instruções e dados de usuários, como uma única sequência de tokens," diz a orientação, então o modelo não pode separar de forma confiável a parte que você quis como dados da parte que um atacante quis como comando. É por isso que o Chrome diz que "a natureza probabilística dos LLMs torna impossível garantir segurança dentro do modelo em si." Este é o mesmo problema de injeção de prompt que não tem uma solução limpa dentro do modelo, agora vestindo um protocolo. O WebMCP dá a esse ataque uma rota de entrega limpa e estruturada através das ferramentas que você publicou intencionalmente.

Preparando Um Site Para Agentes Agora Inclui Torná-lo Seguro Para Agentes

As orientações do Chrome colocam a obrigação no site, não apenas no agente. O documento de segurança das ferramentas do Chrome começa com uma linha direcionada diretamente a quem expõe as ferramentas: "Exponha suas ferramentas apenas a origens que você confia. Isso é particularmente importante quando as ferramentas gerenciam dados do usuário ou de outra forma impactam o usuário." Essa linha é escrita para quem envia a ferramenta. Isso significa você.

As defesas são concretas, e são anotações que você anexa às ferramentas que envia. untrustedContentHint "rotula explicitamente a carga como não confiável, para ajudar a proteger a integridade do seu site enquanto fornece um sinal ao agente de que esses dados requerem um exame mais rigoroso," e o Chrome diz quando usá-lo: "Se uma ferramenta retorna conteúdo gerado pelo usuário (UGC) ou dados de fontes externas, considere adicionar o untrustedContentHint à ferramenta." readOnlyHint marca uma ferramenta que não muda de estado, o que "permite que o agente tome melhores decisões sobre quando pedir confirmações do usuário." exposedTo restringe uma ferramenta a um array de origens que você confia, escrito na própria inscrição:

document.modelContext.registerTool({...}, {
 exposedTo: ['https://trusted.com']
});

O Chrome também limita os orçamentos de caracteres, uma descrição da ferramenta em 500 caracteres e uma única saída de ferramenta em aproximadamente 1.500, e adiciona um caminho requestUserInteraction() para confirmar uma ação antes que ela seja executada. Pegue o exemplo óbvio, uma ferramenta que exibe avaliações de produtos para um agente de compras. Garantir isso não é um trabalho exótico: marque sua saída com untrustedContentHint, defina readOnlyHint porque ela lê em vez de comprar, e limite exposedTo às origens que você realmente atende. Nada disso é trabalho do agente. É trabalho do autor da ferramenta, que na maioria das equipes é a web, CRO, ou pessoas de marketing adicionando WebMCP para parecer atual, não as pessoas de segurança que leem modelos de ameaça. Essa lacuna é onde isso dá errado. Marcar qual de seu conteúdo é dado e não comandos agora faz parte do envio de uma ferramenta, da mesma forma que sanitizar a entrada se tornou parte do envio de um formulário.

Adote WebMCP, Mas Modele A Ameaça De Cada Ferramenta Primeiro

Entregar a um agente ferramentas explícitas e chamáveis supera fazer com que ele adivinhe seu site a partir do DOM, e a capacidade vale a pena ter. Nada disso é uma razão para evitar o WebMCP. O ponto é mais estreito e mais chato do que "novo protocolo, novo perigo": a capacidade chega com uma conta anexada, e a conta é sua.

Então a linha é simples. Não exponha uma ferramenta a um agente que você não tenha modelado como uma ameaça da maneira que você modelaria uma endpoint de API pública. Para cada ferramenta que você está prestes a registrar, responda a uma pergunta antes que ela seja enviada: Que conteúdo não confiável isso pode retornar, e você o marcou? Se você não puder responder a isso, a ferramenta não está pronta, não importa quão pronta para agentes o resto do seu site pareça.

WebMCP é inicial. Ele está em um teste de origem do Chrome, a especificação ainda está em movimento, e a maioria dos sites não expôs uma única ferramenta. Essa é a janela para decidir que seguro para agentes é parte de pronto para agentes, antes que a primeira ferramenta que você envie se revele como aquela que entrega a um agente suas avaliações e o que quer que alguém tenha escondido dentro delas.

Mais Recursos:


Este post foi publicado originalmente em No Hacks.


Imagem em Destaque: Roman Samborskyi/Shutterstock

Contexto Triplo Up

Empresas brasileiras devem estar cientes das implicações de segurança ao implementar WebMCP. A exposição de ferramentas sem a devida análise de risco pode levar a sequestros de agentes. A segurança deve ser uma prioridade ao tornar sites prontos para agentes de IA.

Noticias relacionadas

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.