Pare de Instalar Servidores MCP no Seu Laptop — Aqui Está um Sandbox de Um Clique para Claude
Um guia prático para executar servidores MCP sem confiar neles. Funciona com Claude Code e Claude Desktop, sem necessidade de fork.
O Caminho de Instalação do MCP É um Convite para Execução de Código Arbitrário
Todo guia te diz a mesma coisa. Abra sua configuração do Claude, insira esta linha única:
{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": ["@modelcontextprotocol/server-filesystem", "/Users/me"]
}
}
}
Essa é toda a fronteira de segurança. npx resolve um nome de pacote contra o npm — qualquer versão que esteja disponível neste momento — e a executa com seu usuário, seu shell, seus tokens e leitura/escrita em /Users/me. Toda vez que o agente chama uma ferramenta.
Os últimos doze meses deixaram claro quão ruim é esse padrão.
-
postmark-mcpbackdoor BCC (Set 2025). Um atacante espelhou o legítimo servidor Postmark MCP no npm, construiu confiança ao longo de várias versões e, em seguida, lançou uma versão que silenciosamente BCC'd cada e-mail que o agente enviou para um endereço controlado pelo atacante. Sem zero-day. O pacote fez exatamente o quenpm installanunciou — ele executou. (Escrita da Snyk) - CVE-2025-49596 + a RCE sistêmica stdio. Pesquisadores encontraram uma falha de design nos SDKs MCP oficiais da Anthropic — Python, TypeScript, Java, Rust. O caminho de lançamento stdio executa o comando seja o processo iniciado com sucesso ou não. ~200.000 instâncias vulneráveis, 150M+ downloads, uma cadeia de CVEs subsequentes em LibreChat, WeKnora, MCP Inspector e mais. (The Hacker News)
- Cursor (CVE-2025-54136), GitHub Kanban MCP (CVE-2025-53818). Injeção de comando no ecossistema mais amplo, ambos acessíveis através de chamadas de ferramentas no estilo MCP.
- Supabase × exfiltração de função de serviço do Cursor. Acesso privilegiado ao MCP + entrada de usuário não confiável + um canal de saída = tokens vazados em um thread de suporte público.
O padrão sob todos esses casos é o mesmo: um servidor MCP é apenas um processo que você iniciou. A questão não é se ele pode ser malicioso. É o que seu laptop está usando no momento em que isso acontece.
Duas Requisitos Difíceis
A maioria dos projetos "MCP seguro" falha em um desses:
- Tem que funcionar com Claude Code e Claude Desktop sem alterações. Sem fork corrigido, sem "aguardar suporte upstream." Você edita o mesmo arquivo de configuração que já estaria editando.
-
Tem que executar o pacote do servidor MCP como está. Sem "reescrita segura," sem troca de SDK. O mesmo
npx @modelcontextprotocol/server-filesystem,uvx mcp-server-sqlite,node ./my-mcp-server.jsque você estava prestes a digitar.
Um gateway sob medida que exige que você porte servidores para ele perde em (2). Um fork corrigido do Claude perde em (1). Envelopes Docker únicos tendem a perder em (1) no momento em que um colega não desenvolvedor precisa instalá-los.
Eu construí nilbox para satisfazer ambos.
O Que Eu Construí
nilbox é um sandbox de desktop de código aberto. Instalador com um clique no Windows, macOS, Linux. O servidor MCP roda dentro de uma VM Linux isolada. Claude Desktop e Claude Code se comunicam com ele através de stdio simples — exatamente da maneira que o README upstream descreve — exceto o stdio com o qual estão se comunicando é uma pequena ponte que encaminha os bytes para a VM.
Claude Desktop / Claude Code
│ stdio (JSON-RPC)
▼
nilbox-mcp-bridge ← roda no host, empacotado com nilbox
│
▼
nilbox VM ← Linux isolado, sem NIC de internet, sem token de API real
│
▼
npx @modelcontextprotocol/server-filesystem /mnt/shared
Nenhum dos lados sabe que há uma VM no meio. Claude vê um servidor MCP stdio comum. O servidor MCP vê uma invocação stdio comum de npx .... O pacote no npm permanece inalterado. Os clientes Claude permanecem inalterados. A superfície de ameaça foi alterada.
Demonstração: Executando server-filesystem Dentro do nilbox
Seis etapas. O walkthrough abaixo usa o servidor MCP de filesystem canônico porque é a coisa certa para ser paranoico — leitura/escrita total em qualquer caminho que você apontar.
1. Instale o Node.js dentro da VM. O MCP de filesystem roda através de npx, então a VM precisa do Node.js. Um clique na loja nilbox.
2. Registre o servidor MCP. Escolha Filesystem na loja; ele escreve a configuração dentro da VM:
{
"servers": [
{
"name": "filesystem",
"port": 19001,
"command": ["npx", "@modelcontextprotocol/server-filesystem", "/mnt/shared"]
}
]
}
Mesmo comando npx que o README upstream te entrega. Mesmo pacote, mesmos args. Apenas enraizado em /mnt/shared dentro da VM, não no seu diretório pessoal.
3. O mapeamento de porta é automático. Quando Claude inicia nilbox-mcp-bridge, ele se conecta a 127.0.0.1:19001 no host. nilbox roteia isso para dentro da VM. Você
O artigo apresenta uma solução prática para empresas que utilizam servidores MCP, permitindo que operem de forma segura em um ambiente isolado. Isso é crucial para proteger dados sensíveis e evitar vulnerabilidades em sistemas que dependem de integrações com agentes de IA.
