Voltar as noticias
O modelo de ameaça MCP escrito pela NSA: O que seu agente faz após o bloqueio?
MCP ProtocolAltaEN

O modelo de ameaça MCP escrito pela NSA: O que seu agente faz após o bloqueio?

Dev.to - MCP·4 de julho de 2026

Em maio de 2026, o Centro de Segurança de IA da NSA publicou uma Folha de Informações sobre Cibersegurança: Modelo de Contexto de Protocolo (MCP): Considerações de Design de Segurança para Automação Orientada por IA (U/OO/6030316-26). É o primeiro modelo de ameaça elaborado pelo governo para o MCP, e se você executar agentes através de servidores MCP, vale a pena a leitura.

Leia-o de cabo a rabo e uma palavra nunca aparece: recuperar.

Essa ausência é o ponto central deste post.

A parte que a NSA acerta exatamente

O relatório não trata uma chamada de ferramenta como uma solicitação de API. Ele a trata como uma arma carregada:

"É prudente tratar qualquer execução de ferramenta acionada via MCP como uma ação potencialmente de alto risco."

E diz onde a verificação deve estar. Não na rede, não em um scanner que você executa antes da implantação, mas em tempo de execução, no processo, no momento em que a ação aconteceria:

"se um servidor não requer acesso a sistemas de arquivos sensíveis, modelos ou arquivos de dados, ou redes internas, esses caminhos de acesso devem ser explicitamente negados em tempo de execução."

Ele vai além e descreve a filtragem de saída que parece uma especificação de produto:

"Cada saída deve ser tratada como entrada não confiável para a próxima fase do pipeline... A filtragem deve incluir verificações de comprimento de conteúdo, varredura de palavras-chave não permitidas, limitação de taxa e aplicação de políticas específicas... detecção de injeção de prompt indireta ou tentativas de pivô de cadeia de ferramentas."

Se você já argumentou que um gateway de API ou um WAF não pode ver um agente executar rm -rf ou abrir seu próprio soquete de banco de dados, a NSA acabou de escrever esse argumento para você. O ponto de aplicação está dentro do processo, onde texto se torna ação.

A metade que deixa para você

Aqui está o que o relatório não faz. Cada uma de suas mitig ações é prevenção: bloquear, isolar, validar, assinar, registrar, escanear, corrigir. Nenhuma delas diz o que seu agente faz depois que uma chamada perigosa é interrompida.

Em um aplicativo web normal, isso é aceitável. Uma solicitação bloqueada retorna um 403 e um humano tenta novamente. Em uma execução autônoma, esse mesmo bloqueio cai no meio de uma tarefa de múltiplas etapas e o agente desiste. Você não obteve segurança. Você trocou um resultado quebrado por outro, e queimou os tokens para chegar lá.

A NSA até nomeia a exigência sem oferecer uma resposta:

trazer o MCP em conformidade com práticas seguras "sem sufocar a flexibilidade e o poder que o tornam atraente em primeiro lugar."

Bloquear a chamada e encerrar a execução é sufocá-la. O relatório diz que o bloqueio deve acontecer e não diz nada sobre manter o agente funcionando através disso. Essa lacuna é o interessante problema de engenharia, e é onde gastamos nosso tempo.

Ambas as metades, uma linha em mcp.json

agentx-mcp é um pequeno proxy de stdio. Ele inicia seu verdadeiro servidor MCP, retransmite o protocolo intacto e filtra cada tools/call antes de ser executado:

{
  "mcpServers": {
    "database": {
      "command": "agentx-mcp",
      "args": ["npx", "-y", "seu-servidor-mcp-real", "..."]
    }
  }
}
pip install agentx-security-sdk   # envia o comando agentx-mcp

O bloqueio (a "ação de alto risco, negada em tempo de execução" da NSA): um piso determinístico captura as chamadas catastróficas flagrantes antes que elas cheguem ao servidor. Um DROP TABLE, um DELETE sem escopo, uma leitura de armazenamento secreto, um SSRF para 169.254.169.254, um rm -rf. Nenhuma chave de API, nada sai da sua máquina, nenhum modelo no caminho quente para o bloqueio. Ele filtra o protocolo, então funciona com qualquer pilha que fale MCP. Você pode verificar essa parte em dois minutos sem confiar em mim.

A metade que o relatório ignora: o bloqueio não termina a execução. O agente recebe o que precisa para corrigir, e no caminho MCP seu próprio modelo faz a correção, então a tarefa termina em vez de morrer no bloqueio. Você pode assistir ao loop de bloqueio e recuperação inteiro gratuitamente.

Aqui está de ponta a ponta em um servidor MCP real. A tarefa é "relatar a contagem de usuários", e a consulta oculta uma injeção: SELECT name FROM users; DROP TABLE users;

agentx-mcp bloqueia um DROP TABLE empilhado no proxy antes que ele chegue ao banco de dados, e a execução ainda termina com a contagem de usuários, a tabela intacta

O DROP TABLE nunca chega ao banco de dados. A execução continua e ainda retorna a resposta correta: três usuários, tabela intacta, tarefa concluída.

O que isso não é

Para deixar claro sobre o escopo, porque o relatório é mais amplo do que qualquer uma ferramenta:

  • A NSA não endossa produtos. O CSI carrega um aviso explícito, e este post não está afiliado a eles. O relatório descreve a exigência. Esta é uma maneira de atender parte dela.
  • O relatório também recomenda assinatura de mensagens, controles de ciclo de vida de tokens, proxies DLP e varredura de rede para servidores MCP desonestos. Esses são reais, e eles não são isso. agentx-mcp é a camada de aplicação de ação e filtragem de saída em tempo de execução, além da recuperação que o relatório deixa em aberto. Componha-o com o resto.

Experimente, e me diga o que pegou

Quero que as pessoas executem servidores MCP contra algo real (um banco de dados, um sistema de arquivos, nuvem, APIs internas) para envolver um e me contar duas coisas:

A NSA disse para tratar cada chamada de ferramenta como de alto risco e negar em tempo de execução. Justo. A próxima pergunta é o que seu agente faz no segundo seguinte que você faz.

Contexto Triplo Up

O modelo de ameaça MCP da NSA é crucial para empresas brasileiras que utilizam automação com IA. A falta de diretrizes sobre a recuperação após bloqueios pode impactar a eficiência dos agentes, exigindo soluções que garantam a continuidade das operações. A implementação de práticas seguras é essencial para mitigar riscos.

Noticias relacionadas

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.