Pulse de Segurança do Ecossistema MCP: Abril de 2026

Monitoramos 316 pacotes de servidor MCP no npm continuamente. Esta é a primeira captura pública de como o ecossistema se parece do ponto de vista da segurança.

Os números

Mais de 4.600 varreduras concluídas em 316 pacotes desde que o monitoramento começou no final de março. Cada pacote é reanalisado continuamente, com detecção em tempo real de novas publicações npm através do feed de alterações do registro.

Pontuação média em todo o ecossistema: 89/100. Mediana: 95/100. 50 pacotes têm uma pontuação perfeita de 100.

O que encontramos

As três descobertas mais comuns entre os pacotes monitorados:

Proveniência ausente. A maioria dos servidores MCP é publicada por contas individuais do npm sem atestações de proveniência ou publicação confiável. Isso significa que não há um link verificável entre o repositório de origem e o artefato publicado. Quando uma conta de mantenedor é comprometida (como aconteceu com o axios em 31 de março), não há como distinguir um lançamento legítimo de um malicioso.

Metadados ausentes. Muitos pacotes carecem de licença, link para repositório ou descrição significativa. Esses são de baixa gravidade individualmente, mas sinalizam baixa higiene de publicação. Pacotes com metadados incompletos são mais difíceis de auditar e verificar.

Padrões de código-fonte. Um pequeno número de pacotes contém padrões de injeção de comando, eval inseguro com entrada dinâmica ou segredos codificados em seu código-fonte publicado. Essas são as descobertas de maior gravidade e afetam 3 pacotes em RISCO ALTO.

Incidentes deste período

Comprometimento do npm axios (31 de março). Versões maliciosas 1.14.1 e 0.30.4 foram publicadas com uma dependência oculta implantando um RAT multiplataforma. Dois servidores MCP monitorados (exa-mcp-server, tavily-mcp) tinham axios em sua cadeia de dependência direta. Análise completa

CVE-2026-32211 do Azure MCP Server (3 de abril). Falha de autenticação CVSS 9.1. Autenticação ausente no Azure MCP Server. Já havíamos sinalizado o pacote por preocupações com o script de instalação e falta de proveniência antes que a CVE fosse divulgada. Análise completa

O problema da postura

Os servidores MCP são pacotes npm com todos os riscos da cadeia de suprimentos que vêm com isso. Mas eles carregam risco adicional porque lidam com tokens de API, acesso ao sistema de arquivos e permissões de ferramentas que agentes de IA usam para interagir com sistemas de produção.

A especificação MCP torna a autenticação opcional. O registro oficial lista servidores, mas não os avalia. A maioria dos pacotes é publicada sem proveniência, o que significa que uma conta de mantenedor comprometida pode empurrar código malicioso sem salvaguardas estruturais.

76% do ecossistema com pontuação BAIXA é melhor do que esperávamos. Mas 24% tendo descobertas, e 6% em ELEVADO ou acima, em um protocolo que está ganhando adoção mainstream, merece atenção.

O que verificamos

Scripts de instalação, padrões de injeção de prompt em metadados, padrões de código-fonte (injeção de comando, eval inseguro, segredos codificados), proveniência do publicador, contagem de dependências e completude de metadados. Também extraímos definições de ferramentas MCP do código-fonte publicado e rastreamos mudanças no manifesto da ferramenta ao longo do tempo.

Metodologia completa: https://agentscores.xyz/methodology

Siga isso

Os avisos de segurança são publicados automaticamente quando um pacote monitorado muda de nível de risco:

• Web: https://agentscores.xyz/security/advisories
• RSS: https://agentscores.xyz/security/advisories/rss.xml
• JSON: https://agentscores.xyz/api/advisories

Verifique qualquer pacote MCP você mesmo em https://agentscores.xyz

Publicado por AgentScore. Monitoramos o ecossistema MCP para que você não precise.