Camada Semântica vs MCP: Por Que o Acesso Direto ao ERP É um Risco de Segurança Empresarial

⚠️ Modo de Falha: A maioria dos arquitetos que celebram a capacidade do MCP de conectar LLMs diretamente a sistemas empresariais está pulando uma questão crítica: o que acontece quando o prompt é malicioso? Uma instrução elaborada pode executar uma operação de gravação real contra seu ERP sem alarmes, sem barreiras e sem revisão humana.

A comunidade de IA empresarial está se movendo rapidamente para conectar grandes modelos de linguagem diretamente a sistemas de negócios críticos usando MCP (Modelo de Protocolo de Contexto). O entusiasmo é compreensível. O risco está sendo ignorado. Este post detalha a fronteira arquitetônica entre a camada semântica e o MCP, mostra onde a superfície de ataque se abre e define a camada de governança que todo sistema de IA empresarial precisa antes de se aproximar do acesso de gravação.

A camada semântica é segura — mas somente leitura

Uma camada semântica fica entre seu LLM e seus dados. Ela expõe um modelo curado e ciente de permissões — métricas, dimensões, KPIs — e nada mais. Um LLM pode consultá-la livremente porque o pior resultado é ler dados que já está autorizado a ver. Permissões baseadas em função são aplicadas na camada semântica. O modelo de dados é definido e controlado. O raio de explosão de qualquer erro é limitado a um resultado de consulta ruim.

A limitação é fundamental: as camadas semânticas são somente leitura por design. No momento em que você precisa que a IA atue — atualize um registro, acione um fluxo de trabalho, modifique um preço, aprove uma ordem de compra — você precisa de acesso de gravação. É aí que o MCP entra em cena.

O MCP permite acesso de gravação — e isso muda tudo

Os servidores MCP podem executar operações reais contra sistemas empresariais ao vivo. Esse poder também é o risco. Um LLM processando uma injeção de prompt elaborada pode emitir uma chamada de ferramenta MCP perfeitamente válida com intenção maliciosa. Sem uma camada de governança, essa instrução vai direto para o seu ERP. Sem validação. Sem revisão humana. Sem trilha de auditoria.

Exemplo do mundo real:

• Um prompt é injetado em um assistente de IA voltado para o cliente
• A instrução injetada diz ao LLM para definir todos os preços do catálogo de produtos para $0,00
• O servidor MCP recebe uma chamada de ferramenta válida update_product_price
• O ERP a executa. Nenhum alarme dispara.
• No momento em que alguém percebe, milhares de pedidos foram feitos a preço zero

As três camadas que cada caminho de gravação do MCP requer

Cada chamada de ferramenta MCP que toca uma operação de gravação em um sistema empresarial deve passar por três controles de governança antes da execução.

1. Camada de validação de prompt

Antes que qualquer intenção de gravação chegue ao servidor MCP, valide a instrução independentemente do LLM. Verifique: essa ação corresponde ao objetivo declarado do usuário? O escopo está dentro dos limites esperados? Os valores dos parâmetros estão dentro das faixas aceitáveis? Marque e bloqueie qualquer coisa fora do envelope esperado antes que avance.

🔒 Padrão de Segurança: Trate a camada de validação de prompt como uma fronteira de entrada não confiável. Aplique o mesmo rigor que você aplicaria a qualquer entrada de API externa — validação de esquema, verificações de faixa de valor, detecção de anomalias e rejeição de qualquer coisa malformada ou fora do escopo.

2. Aplicação de esquema de entrada e saída do servidor MCP

O servidor MCP deve impor um esquema rigoroso em cada chamada de ferramenta recebida. Defina contratos explícitos para cada ferramenta: tipos de parâmetros esperados, faixas de valores, tipos de registros permitidos e escopo máximo da operação. Rejeite qualquer coisa fora do contrato na fronteira do servidor, antes da execução. Aplique a mesma validação à saída — nunca retorne dados brutos do ERP ao LLM sem sanitização.

🔄 Padrão de Resiliência: Projete contratos de ferramentas MCP para serem estreitos e específicos. Uma ferramenta que só pode atualizar o preço de um SKU por vez com uma faixa mínima/máxima definida é muito mais segura do que um endpoint de atualização em massa. A restrição de escopo é seu primeiro limitador de raio de explosão.

3. Porta de governança HITL

Para qualquer operação de gravação que toque dados empresariais críticos — preços, registros financeiros, inventário, dados de fornecedores, ordens de compra — exija aprovação humana antes da execução. Esta porta não é opcional e não deve ser contornada pelo LLM. O agente submete a operação proposta e aguarda. Um humano revisa e aprova ou rejeita. Somente com aprovação explícita o servidor MCP executa.

🤖 Padrão de Agente: Implemente HITL como uma porta rígida em sua máquina de estados do fluxo de trabalho LangGraph. O agente transita para um estado PENDING_APPROVAL e não pode prosseguir para EXECUTING até que o sinal de aprovação seja recebido de um ator humano autenticado. Nenhum caminho de raciocínio do LLM deve ser capaz de contornar essa transição.

O requisito de observabilidade

A governança sem observabilidade é teatro. Cada operação de gravação do MCP deve gerar uma trilha de auditoria completa: quem ou o que a iniciou, o contexto completo do prompt que levou a ela, as decisões de validação feitas em cada camada, o registro de aprovação humana, a operação exata executada e o resultado. Essa trilha deve ser imutável e consultável.

🔍 Padrão de Observabilidade: Use AgentOps ou LangSmith para capturar rastros de sessão completos para cada fluxo de trabalho agente que toque operações de gravação. Marque cada rastro com o nome da ferramenta MCP, hash de parâmetros, resultado da validação, ator de aprovação e ID da transação ERP. Quando algo dá errado — e dará — você precisa de reprodução forense, não de arqueologia de logs.

A regra da arquitetura

Camada semântica para leitura. MCP para gravação. Mas cada caminho de gravação do MCP deve passar pela validação de prompt, aplicação de esquema do MCP e uma porta de governança HITL antes de tocar qualquer sistema empresarial.

Os líderes que celebram "IA falando diretamente com ERP via MCP" estão descrevendo um sistema a um passo de uma injeção de prompt que pode levar a uma crise empresarial. Os arquitetos que entendem essa lacuna serão os que limparão a bagunça em 2027 — e a Gartner já disse que mais de 50% dos agentes de IA empresarial falharão até lá. A governança não é um recurso. É a fundação.

O que vem a seguir

• A2A vs MCP — e onde o UCP e o AP2 do Google se encaixam na paisagem do protocolo agente