Voltar as noticias
Como encontrar servidores MCP seguros para seu assistente de codificação de IA (e por que a maioria dos diretórios mente)
MCP ProtocolAltaEN

Como encontrar servidores MCP seguros para seu assistente de codificação de IA (e por que a maioria dos diretórios mente)

Dev.to - MCP·18 de julho de 2026

Se você usa Claude Desktop, Cursor, Cline ou Continue, provavelmente instalou servidores MCP de uma "lista curada" ou diretório. Aqui está a verdade desconfortável: a maioria desses diretórios não audita realmente os servidores que listam. Eles são listas curadas, não auditorias de segurança.

Eu construí um marketplace MCP que realmente audita cada servidor. Aqui está o que aprendi sobre a segurança do MCP — e como você pode se proteger.

O problema com os diretórios MCP hoje

A maioria das listas "awesome-mcp-servers" funciona assim:

  1. Alguém envia um repositório do GitHub
  2. O mantenedor o adiciona ao README
  3. É isso. Sem auditoria. Sem verificação. Sem sandbox.

Isso significa:

  • Um erro de digitação na URL do repositório → você instala a coisa errada
  • Um PR malicioso mesclado em um repositório legítimo → você instala malware
  • Um repositório de typosquatting com um nome semelhante → você instala um trojan

Isso realmente aconteceu. Duas semanas atrás, um repositório de typosquatting (JuanquiFortuny/prospector-mcp-email-finder) inseriu um trojan do Windows (Trojan:Win64/Lazy.PGPK!MTB) em um diretório MCP concorrente através de um falso badge de "Baixar Última Versão".

Como é a segurança real do MCP

No MarketNow, cada servidor MCP passa por 8 camadas de auditoria antes de entrar no catálogo:

Camada 1-2: Análise estática

  • 6 verificações de metadados (auth, injeção, CORS, OAuth, limitação de taxa)
  • 18 regras Semgrep + 18 padrões secretos + verificação de dependência OSV

Camada 3: Detecção de binários e malware

Abre o pacote zip real (recursivamente — zips dentro de zips) e verifica:

  • Binários do Windows (.exe, .dll, .scr)
  • Scripts de inicialização (.bat, .cmd, .vbs, .ps1)
  • Arquivos compactados aninhados (sinal de alerta)
  • Código byte obfuscado em Lua
  • URLs de download externas em READMEs
  • Comandos codificados em PowerShell

Camada 4: Assinaturas de famílias de malware

17 regras equivalentes a YARA para famílias de malware conhecidas: Emotet, Cobalt Strike, Mimikatz, RedLine, Vidar, Raccoon, LummaC2, AsyncRAT, njRAT, Remcos e mais.

Camada 5-8: Defesa em tempo de execução

  • WAF (40 assinaturas de ataque)
  • Honeypot (50+ caminhos falsos que banem scanners)
  • Feeds de inteligência de ameaças (abuse.ch: URLhaus + MalwareBazaar + ThreatFox)
  • Auto-quarentena (habilidades maliciosas removidas + listadas publicamente)

O que isso significa para você

Quando você navega em marketnow.site, cada habilidade tem:

  1. Uma pontuação Sentinel (0-10) — quão seguro é este servidor?
  2. Um certificado assinado — assinado em SHA-256, verificável publicamente
  3. Um nível de risco — baixo / médio / alto / crítico
  4. Divulgação da fonte — de qual repositório do GitHub veio
  5. Resultados da sandbox L2 (para 206 habilidades) — comportamento real em tempo de execução em uma sandbox gVisor

Como usá-lo

Opção 1: Navegue pela interface web

Vá para marketnow.site, procure o que você precisa, verifique a pontuação Sentinel e copie o comando de instalação.

Opção 2: Use o servidor MCP

Adicione o MarketNow como um servidor MCP em seu assistente:

{
  "mcpServers": {
    "marketnow": {
      "command": "npx",
      "args": ["-y", "marketnow-mcp"]
    }
  }
}

Agora você pode perguntar ao Claude/Cursor/Cline: "Encontre-me um servidor MCP de sistema de arquivos com uma alta pontuação de segurança" — e ele irá pesquisar no MarketNow, filtrar pela pontuação Sentinel e retornar apenas servidores auditados.

Opção 3: Use a API diretamente

# Pesquisar habilidades
curl "https://marketnow.site/api/search?q=filesystem" | jq

# Obter o certificado de segurança de uma habilidade
curl "https://marketnow.site/api/audit-skill?skillId=mn-mcp-filesystem" | jq

A camada de confiança: ATC

Para confiança entre agentes, também construímos ATC (Cartão de Confiança do Agente) — certificados SSL para agentes de IA:

# Verifique o cartão de confiança de qualquer agente
curl "https://marketnow.site/api/atc?action=verify&card_id=ATC-2026-XXXXXXX"

Retorna: válido/inválido, pontuação Sentinel, nível de risco, verificação de assinatura, status de revogação.

O que você pode fazer hoje

  1. Pare de instalar servidores MCP de listas não curadas. Verifique se o diretório realmente audita os servidores.
  2. Verifique o repositório do GitHub antes de instalar. Estrelas, último commit, problemas abertos, licença.
  3. Use o MarketNow (propaganda descarada, mas é gratuito e realmente audita tudo).
  4. Verifique os certificados Sentinel em marketnow.site/verify antes de confiar em uma habilidade.
  5. Reporte habilidades suspeitas — abra um problema em github.com/edgarfloresguerra2011-a11y/marketnow.

O quadro maior

O MCP está se tornando o padrão para como assistentes de IA chamam ferramentas externas. Mas a infraestrutura de confiança ainda não existe. Qualquer um pode publicar um servidor MCP, e a maioria dos diretórios não verifica nada.

O MarketNow está tentando corrigir isso: cada servidor auditado, cada certificado assinado, cada incidente público. O marketplace é gratuito. A infraestrutura de segurança é o produto.

Experimente: https://marketnow.site
Instale: npx -y marketnow-mcp
GitHub: https://github.com/edgarfloresguerra2011-a11y/marketnow

Edison Flores, AliceLabs LLC

Contexto Triplo Up

A segurança dos servidores MCP é crucial para empresas que utilizam assistentes de IA. A falta de auditoria em diretórios pode expor negócios a riscos de segurança. O MarketNow oferece uma solução robusta, auditando servidores e garantindo a segurança dos usuários.

Noticias relacionadas

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.