
Comparação de marketplaces de servidores MCP: Smithery vs Glama vs PulseMCP vs MarketNow
O cenário do marketplace MCP
Se você está procurando servidores MCP (Model Context Protocol), agora existem vários marketplaces. Eu construí um deles (MarketNow), então sou tendencioso — mas aqui está uma comparação honesta.
Os 4 marketplaces
| Marketplace | Servidores | Auditoria de segurança | Preços | Recurso único |
|---|---|---|---|---|
| Smithery | 3.000+ | Nenhuma | Gratuito | Instalação fácil via CLI |
| Glama | 2.000+ | Nenhuma | Gratuito | Notas de qualidade (algorítmicas) |
| PulseMCP | 21.000+ | Nenhuma | Gratuito | Maior catálogo |
| MarketNow | 8.764 | ✓ 6 camadas Sentinel | Gratuito + pago | Certificados de segurança |
O que cada um faz bem
Smithery
Smithery é a maneira mais fácil de instalar um servidor MCP. Seu CLI (npx @smithery/cli install) cuida da configuração automaticamente. O catálogo é curado, mas não possui auditoria de segurança.
Glama
Glama fornece notas de qualidade algorítmicas com base na atividade do GitHub, estrelas e sinais de manutenção. É ótimo para descoberta, mas as notas não refletem testes de segurança reais.
PulseMCP
PulseMCP tem o maior catálogo (21.000+) porque agrega de várias fontes. Mas quantidade ≠ qualidade — nenhuma auditoria de segurança significa que você está confiando em cada autor de servidor.
MarketNow (nós)
MarketNow é o único marketplace que audita a segurança de cada servidor. Nós executamos um pipeline de 6 camadas (Sentinel):
- L1.5: Análise estática (deps, segredos, licenças)
- L1.6: Análise comportamental baseada em padrões
- L2 v2.0: Prova ativa (60+ entradas adversariais)
- L2.5: Sandbox gVisor (isolamento de kernel em espaço de usuário)
Cada servidor recebe um certificado SHA-256 assinado com uma pontuação de 0-10.
As lacunas honestas
Lacunas do MarketNow:
- Catálogo menor que o PulseMCP (8.764 vs 21.000)
- Sandbox L2.5 cobre apenas 206 servidores até agora (o restante tem L1.5+L1.6)
- Sem auditoria de terceiros ainda (L5 é Q3 2027)
- Recursos pagos ($0.99-$9.99) — outros são totalmente gratuitos
Lacunas de todos os marketplaces:
- Nenhum verifica se o repositório do GitHub corresponde ao pacote npm publicado
- Nenhum fornece atestação de cadeia de suprimentos (SLSA)
- Nenhum tem auditorias de segurança de terceiros
- Nenhum testa para injeção de prompt no nível do protocolo
O que eu recomendaria
- Descoberta: Use PulseMCP ou Smithery para encontrar servidores
- Confiança: Verifique se o servidor possui um certificado Sentinel do MarketNow
- Instalação: Use o comando de instalação oficial do repositório do GitHub
-
Verificação: Verifique a pontuação Sentinel em
marketnow.site/verify
O verdadeiro problema
A descoberta está resolvida. A confiança não.
Você pode encontrar mais de 21.000 servidores MCP hoje. Mas quando você npx -y some-mcp-server, esse servidor obtém:
- Acesso de leitura a
~/.ssh/id_rsa,~/.aws/credentials - Acesso à rede (exfiltrar dados, SSRF)
- Acesso para spawn de processos (executar comandos)
- Acesso a variáveis de ambiente (chaves de API)
Não há sandboxing no MCP. Você está confiando no autor.
3 dos 8.764 servidores que auditei vazaram variáveis de ambiente quando enviados prompts de acesso a credenciais. Nenhum dos outros marketplaces capturaria isso.
Experimente
- Navegue: marketnow.site/registry
- Habilidades gratuitas: marketnow.site/api/free-skills.json
- Instale:
npx -y marketnow-mcp - Verifique um certificado: marketnow.site/verify
Eu construo o MarketNow — a camada de confiança para o comércio de agentes. Siga no GitHub.
As empresas brasileiras que utilizam servidores MCP devem considerar a segurança e a confiabilidade dos marketplaces. A comparação entre eles ajuda a escolher a melhor opção para suas necessidades, especialmente em um cenário onde a confiança é crucial.

