Seu servidor MCP é seguro? Como proteger seu agente de IA

Se você executar um agente de IA através do MCP (Claude Code, Cursor ou qualquer cliente MCP), suas chamadas de ferramenta agora fluem através dos servidores MCP: um servidor de sistema de arquivos, um servidor de banco de dados, um shell. Essa padronização é ótima. Também significa que uma única chamada de ferramenta alucinatória ou injetada por prompt pode causar danos reais e irreversíveis, e o modelo não sabe distinguir uma chamada destrutiva de uma segura até que já esteja a realizando.

Então as pessoas perguntam: este servidor MCP é seguro?

Aqui está a melhor pergunta. Seu agente, eventualmente, enviará a um servidor MCP algo destrutivo. A questão não é apenas se você bloqueia isso. É se a execução sobrevive ao bloqueio.

Bloqueie com uma linha. Sem código, sem chave.

Envolva qualquer servidor MCP com agentx-mcp. É um pequeno proxy stdio: ele inicia o servidor real, retransmite o protocolo MCP intocado e filtra cada tools/call antes de executá-lo. Uma linha no seu mcp.json:

{
  "mcpServers": {
    "database": {
      "command": "agentx-mcp",
      "args": ["npx", "-y", "seu-servidor-mcp-real", "..."]
    }
  }
}

pip install agentx-security-sdk   # isso envia o comando agentx-mcp

Agora, cada chamada de ferramenta que o agente faz é verificada por um piso determinístico primeiro. Um DROP TABLE, um DELETE não escopado, uma leitura de armazenamento secreto, um SSRF para 169.254.169.254, um rm -rf: todos bloqueados antes de chegarem ao servidor. Nenhuma chave de API, nada sai da sua máquina, nenhum LLM no caminho quente para o bloqueio. Funciona com qualquer pilha que fale MCP, porque filtra o protocolo, não seu código.

Essa é a parte que você pode verificar em dois minutos sem confiar em mim.

Um bloqueio que mata a execução ainda é um agente quebrado

A maioria das respostas "é seguro" para aqui: a chamada perigosa é bloqueada, a ferramenta retorna um erro e seu agente desiste. Um 403 rígido no meio de uma execução autônoma é seu próprio tipo de falha. A tarefa não é concluída. Você apenas trocou um resultado quebrado por outro.

Então agentx-mcp orienta o agente em vez de matá-lo

Quando o escudo bloqueia um tools/call, agentx-mcp não retorna um erro fatal. Ele retorna um erro de ferramenta de orientação que nomeia o que era inseguro e aponta para um caminho seguro. Seu agente o lê em sua próxima vez, revisa e tenta uma versão segura. A execução continua.

Aqui está o loop, do início ao fim, em um servidor MCP real:

1. A tarefa do agente é "relatar a contagem de usuários." Sua consulta oculta uma injeção: SELECT name FROM users; DROP TABLE users;
2. agentx-mcp bloqueia isso no proxy. A chamada nunca chega ao banco de dados. O agente recebe de volta um erro de orientação: bloqueado, intenção destrutiva em massa, revise para uma leitura segura.
3. O agente revisa para SELECT COUNT(*) FROM users.
4. Isso é executado. Três usuários. A tabela está intacta. A tarefa está concluída.

A pegadinha são as apostas da tabela. A recuperação é o ponto: seu agente termina o trabalho em vez de morrer no bloqueio.

Essa recuperação é sem chave e em banda. O agente que faz a autocorreção é seu agente, o próprio modelo do cliente MCP, lendo a orientação. Não há chave extra e nenhum gateway neste loop. (Uma versão mais rica, orientada por gateway, está no roteiro, mas a orientação sem chave acima é o que é enviado hoje.)

O que ele captura hoje, e como

O piso é determinístico, então o bloqueio é uma regra, não uma vibração:

• SQL destrutivo: DROP TABLE, TRUNCATE, DELETE não escopado
• leituras em massa de segredos e chaves de API
• SSRF e buscas de metadados em nuvem (169.254.169.254)
• desmantelamento de shell e sistema de arquivos: rm -rf, curl | sh, travessia de caminho
• loops de chamadas de ferramenta descontrolados

Sem inferência de modelo para o piso, que é por isso que funciona sem chave e adiciona latência negligenciável. É o piso catastrófico flagrante de propósito: as coisas que você nunca quer que um agente faça, bloqueadas de forma determinística, toda vez.

Experimente e me diga o que ele capturou

Estou procurando pessoas que executam servidores MCP contra algo real (um banco de dados, um sistema de arquivos, nuvem, APIs internas) para envolver um e me contar duas coisas:

• O que ele capturou que poderia ter te mordido?

• Que chamada de ferramenta perigosa ele perdeu? Tente pegá-lo.

• Assista ao captura-e-recupera ao vivo e experimente: https://bit.ly/agentfirewall

• Me diga o que quebrou ou o que ele perdeu: https://discord.gg/PmWRTtaSx2

Se seu agente nunca toca em nada irreversível, siga em frente. Se ele o faz, envolver um servidor MCP é uma linha, e DROP TABLE é uma má maneira de aprender isso da maneira difícil.