Garantindo Acesso Seguro de IA a Dados Financeiros: Como Governamos o MCP do Bitcoin com agentgateway
Garantindo o Acesso de IA a Dados Financeiros: Como Governamos o Bitcoin MCP com agentgateway
O que acontece quando um agente de IA tem uma ferramenta chamada send_raw_transaction?
Isso não é uma hipótese. bitcoin-mcp é um servidor do Modelo de Protocolo de Contexto que dá aos agentes de IA acesso a 49 ferramentas para consultar a rede Bitcoin -- análise de blocos, estimativa de taxas, inspeção de mempool, buscas de endereços, decodificação de transações e sim, transmissão de transações assinadas para a rede.
Para um analista de dados construindo um painel, essas ferramentas são uma mina de ouro. Para uma implantação em produção sem barreiras, elas são uma porta aberta.
Construímos o Bitcoin Gateway Guard para fechar essa porta e entregar chaves apenas para as pessoas que devem tê-las.
O Modelo de Ameaça
Agentes de IA não são usuários. Eles não têm julgamento. Eles fazem exatamente o que seu prompt diz, e os prompts podem ser injetados, manipulados ou simplesmente mal escritos. Considere o que pode dar errado quando um agente de IA tem acesso irrestrito às ferramentas do Bitcoin:
Transmissão acidental. Um desenvolvedor testando a construção de transações acidentalmente chama send_raw_transaction em vez de decode_raw_transaction. A transação é irreversível.
Injeção de prompt. Uma entrada maliciosa engana o agente para chamar generate_keypair, e a chave privada aparece em uma resposta que é registrada, armazenada em cache ou exibida em uma interface de usuário.
Loops incontroláveis. Um bug no raciocínio do agente faz com que ele sobrecarregue o nó do Bitcoin com milhares de solicitações por minuto, degradando o serviço para todos.
Acesso oculto. Seis meses depois, ninguém pode dizer quais agentes acessaram quais dados, quando ou por quê. Sua equipe de conformidade não está feliz.
Esses não são ataques exóticos. Eles são as consequências previsíveis de implantar agentes de IA em infraestrutura financeira sem os mesmos controles que você aplicaria a usuários humanos.
Quatro Camadas de Defesa
O Bitcoin Gateway Guard coloca agentgateway -- um gateway de segurança MCP de código aberto construído em Rust -- entre agentes de IA e bitcoin-mcp. Cada solicitação passa por quatro camadas de segurança independentes.
Camada 1: Autenticação JWT
Sem acesso anônimo. Cada solicitação deve carregar um JWT válido assinado com RS256. O gateway valida a assinatura, o emissor (bitcoin-gateway-guard), o público (bitcoin-mcp) e a expiração antes que a solicitação toque qualquer lógica a jusante.
Sem token? HTTP 401. Token expirado? HTTP 401. Emissor errado? HTTP 401.
Camada 2: Controle de Acesso Baseado em Funções
Definimos duas funções usando expressões CEL (Common Expression Language):
jwt.role == "admin"
jwt.role == "reader" && mcp.tool.name != "send_raw_transaction" && mcp.tool.name != "generate_keypair"
A função reader tem acesso a 47 ferramentas somente para leitura -- tudo que você precisa para painéis, análises, pesquisas e monitoramento. As duas ferramentas que podem modificar o estado ou criar material sensível -- send_raw_transaction e generate_keypair -- são reservadas para admin.
Esta é uma única linha de política. Sem código. Sem middleware. Sem cadeias if-else enterradas na lógica do aplicativo. A política é auditável, declarativa e vive em um arquivo de configuração YAML que pode ser versionado e revisado.
Camada 3: Limitação de Taxa
Um algoritmo de balde de tokens limita cada consumidor a 10 solicitações por minuto com capacidade de explosão de 10. Isso é deliberadamente conservador. Um refresh legítimo de painel precisa de uma solicitação a cada poucos segundos. Um agente preso em um loop atingirá o limite em menos de um segundo.
localRateLimit:
- maxTokens: 10
tokensPerFill: 1
fillInterval: 60s
A limitação de taxa é a rede de segurança que captura tudo o mais. Mesmo que a autenticação e a autorização passem, um agente descontrolado não pode sobrecarregar seu nó do Bitcoin.
Camada 4: Registro de Auditoria
Cada invocação de ferramenta gera um span OpenTelemetry exportado para Jaeger. Cada span registra o nome da ferramenta, o sujeito do JWT (quem), o papel do JWT, a decisão de autorização (permitido ou negado), o status HTTP e a latência.
Abra o Jaeger em localhost:16686, selecione o serviço agentgateway, e você terá um registro completo, pesquisável e ordenado por tempo de cada interação do agente de IA com seus dados do Bitcoin. Alimente isso em seu SIEM, configure alertas do PagerDuty em solicitações negadas, realize revisões de acesso semanais.
A Demonstração
A configuração leva dois comandos:
python scripts/generate_keys.py # Gere chaves RSA + tokens JWT
docker compose up -d # Inicie bitcoin-mcp + agentgateway + Jaeger
Então teste o modelo de segurança:
# O leitor consulta a altura do bloco -- funciona bem
python scripts/test_rbac.py --user reader --tool get_block_count
# Resultado: PERMITIDO
# O leitor tenta transmitir uma transação -- bloqueado
python scripts/test_rbac.py --user reader --tool send_raw_transaction
# Resultado: NEGADO (autorização)
# Explosão de 15 solicitações -- limitado após 10
python scripts/test_rbac.py --user reader --tool get_fee_estimates --burst 15
# Resumo: 10 permitidos, 5 limitados por taxa
Cada uma dessas interações aparece no Jaeger com contexto completo. As solicitações negadas são sinalizadas. As solicitações limitadas por taxa são registradas. Nada é invisível.
Por que agentgateway?
Avaliamos a construção de middleware personalizado, envolvendo bitcoin-mcp com lógica de autenticação e usando um gateway de API de propósito geral. O agentgateway venceu porque entende o MCP nativamente.
Um gateway de API genérico pode limitar a taxa de solicitações HTTP e validar JWTs. Mas não pode inspecionar nomes de ferramentas MCP, aplicar regras de autorização por ferramenta ou rastrear contexto específico do MCP. O agentgateway fala o protocolo. Suas regras de autorização baseadas em CEL referenciam mcp.tool.name diretamente. Sem regex em corpos de solicitação. Sem plugins personalizados. Sem análise frágil.
A configuração tem 40 linhas de YAML. Toda a política de segurança -- autenticação, autorização, limitação de taxa e rastreamento -- é declarada em um único arquivo que um engenheiro de segurança pode revisar em cinco minutos.
Por que isso importa
A indústria de IA está se movendo rapidamente para
Com o aumento do uso de IA em finanças, é crucial que empresas brasileiras implementem protocolos de segurança robustos para proteger dados sensíveis. O uso de gateways de segurança como o agentgateway pode prevenir acessos indevidos e garantir conformidade. Isso é vital para a confiança do cliente e a integridade dos dados.
