Eu escaneei minha configuração MCP e ela marcou 0/100. Veja o que estava errado.

Eu venho adicionando servidores MCP ao Claude e ao Cursor há meses — GitHub, um servidor de sistema de arquivos, alguns servidores de busca, um pequeno servidor HTTP interno que escrevi. Funciona muito bem. Então, duas coisas me incomodaram:

1. Alguns desses servidores não têm autenticação nenhuma. Qualquer um que conseguir acessar a URL pode chamar minhas ferramentas.
2. Minha janela de contexto parecia cheia antes mesmo de eu digitar um prompt.

Descobri que não sou só eu. Uma análise de 2026 de ~7.000 servidores MCP públicos encontrou que 41% não requerem autenticação, 36,7% são vulneráveis a SSRF, e apenas 8,5% usam OAuth. Então, escrevi uma pequena ferramenta para verificar minha própria configuração — e ela marcou 0 de 100.

A ferramenta

mcp-audit (https://github.com/alih552/mcp-audit) é um CLI sem dependências que lê sua configuração MCP (Claude Desktop, Cursor, VS Code, Windsurf, ou um simples .mcp.json) e te diz o que está errado. Ele roda 100% localmente — nunca se conecta aos seus servidores ou envia sua configuração para lugar nenhum.

pipx install git+https://github.com/alih552/mcp-audit
mcp-audit

Aqui está o tipo de coisa que ele sinalizou na minha configuração de teste (deliberadamente bagunçada):

MCP Audit — ~/.cursor/mcp.json
  7 servidor(es) - ~13.160 tokens de contexto - pontuação 0/100 (F)

[ALTO] Servidor remoto sem autenticação  (internal-api)
[ALTO] Segredo em texto claro na configuração (token do GitHub)  (github)
[MÉDIO] Executável auto-atualizável não fixado (npx -y)  (filesystem)
[MÉDIO] Raiz de sistema de arquivos excessivamente ampla '/Users'  (filesystem)
[BAIXO]  7 servidores ~ 13.160 tokens de contexto carregados a cada requisição

O que cada descoberta realmente significa

Sem autenticação em um servidor remoto. Se seu servidor MCP é acessível via HTTP e não verifica um token, o modelo — ou qualquer um que encontrar a URL — pode executar suas ferramentas. Com a injeção de prompt em circulação, o servidor precisa manter a linha, não o modelo.

Segredos em texto claro na configuração. Um GITHUB_TOKEN sentado em .mcp.json vaza através do próprio arquivo e através do seu histórico do git. Mova-o para uma variável de ambiente ou um gerenciador de segredos.

npx -y / uvx sem uma versão fixada. Isso executa silenciosamente o que foi publicado mais recentemente. É um risco de cadeia de suprimentos — fixe a versão e revise as atualizações.

Raízes de sistema de arquivos excessivamente amplas. Um servidor de sistema de arquivos apontado para /Users ou $HOME permite que o modelo leia e escreva muito mais do que seu projeto. Limite-o ao diretório do projeto.

Inchaço de tokens. Esta foi a que eu não esperava. Cada servidor carrega seus esquemas de ferramentas em todas as requisições. Cinco servidores custam comumente 50-75k tokens de contexto antes de você digitar uma palavra — isso é dinheiro real e latência real. Desative os servidores que você não está usando ativamente.

A solução

Para os problemas de configuração: fixe versões, mova segredos para variáveis de ambiente, limite o acesso ao sistema de arquivos e coloque autenticação na frente de qualquer coisa remota. Há uma lista completa de verificação de segurança do servidor MCP aqui: https://alih552.github.io/mcp-forge/checklist.html

Se você está construindo um servidor MCP e quer que ele seja seguro desde o primeiro commit, eu também compilei o MCP Forge Kit (https://alih552.github.io/mcp-forge/) — um iniciador seguro por padrão (autenticação bearer + JWT, busca segura contra SSRF, limitação de taxa, validação, testes, CI). Mas o auditor acima é gratuito e MIT, e genuinamente útil por si só.

Experimente em sua configuração

pipx install git+https://github.com/alih552/mcp-audit
mcp-audit --json

Eu adoraria receber feedback sobre as verificações — especialmente falsos positivos e verificações que você acha que estão faltando. Repositório: https://github.com/alih552/mcp-audit