Pesquisadores de cibersegurança descobriram uma vulnerabilidade crítica de segurança no projeto Model Context Protocol (MCP) Inspector da empresa de inteligência artificial (AI) Anthropic, que poderia resultar em execução de código remoto (remote code execution, RCE) e permitir que um atacante obtenha acesso completo aos hosts.
A vulnerabilidade, identificada como
CVE-2025-49596
, tem uma pontuação CVSS de 9,4 em um máximo de 10,0.
"Esta é uma das primeiras RCEs críticas no ecossistema MCP da Anthropic, expondo uma nova classe de ataques baseados em navegador contra ferramentas de desenvolvedores de AI," disse Avi Lumelsky da Oligo Security em um relatório publicado na semana passada.
"Com a execução de código na máquina de um desenvolvedor, atacantes podem roubar dados, instalar backdoors e mover-se lateralmente através de redes - destacando riscos sérios para equipes de AI, projetos open-source e adotantes corporativos que dependem do MCP." MCP, introduzido pela Anthropic em novembro de 2024, é um protocolo aberto que padroniza a maneira como aplicações de modelo de linguagem de grande porte (large language model, LLM) integram e compartilham dados com fontes de dados externas e ferramentas.
O MCP Inspector é uma ferramenta de desenvolvedor para testar e depurar servidores MCP, que expõem capacidades específicas através do protocolo e permitem que um sistema de AI acesse e interaja com informações além de seus dados de treinamento.
Ele contém dois componentes, um cliente que fornece uma interface interativa para testes e depuração, e um servidor proxy que faz a ponte da interface web até diferentes servidores MCP.
Dito isso, uma consideração de segurança chave a ser lembrada é que o servidor não deve ser exposto a qualquer rede não confiável, pois tem permissão para iniciar processos locais e conectar-se a qualquer servidor MCP especificado.
Este aspecto, somado ao fato de que as configurações padrão que os desenvolvedores usam para iniciar uma versão local da ferramenta vêm com "riscos significativos" de segurança, como autenticação e criptografia ausentes, abre um novo caminho de ataque, segundo a Oligo.
"Essa má configuração cria uma superfície de ataque significativa, pois qualquer pessoa com acesso à rede local ou à internet pública pode potencialmente interagir com e explorar esses servidores," disse Lumelsky.
O ataque se desenrola encadeando uma falha de segurança conhecida que afeta navegadores web modernos, apelidada de 0.0.0.0 Day, com uma vulnerabilidade de falsificação de solicitação entre sites (cross-site request forgery, CSRF) no Inspector (
CVE-2025-49596
) para executar código arbitrário no host simplesmente ao visitar um site malicioso.
"Versões do MCP Inspector abaixo de 0.14.1 são vulneráveis a execução remota de código devido à falta de autenticação entre o cliente e o proxy do Inspector, permitindo solicitações não autenticadas para lançar comandos MCP sobre stdio," disseram os desenvolvedores do MCP Inspector em um aviso para o
CVE-2025-49596
.
0.0.0.0 Day é uma vulnerabilidade de 19 anos em navegadores web modernos que poderia permitir que sites maliciosos violassem redes locais.
Ela tira vantagem da incapacidade dos navegadores de lidar de forma segura com o endereço IP 0.0.0.0, levando à execução de código.
"Os atacantes podem explorar essa falha criando um site malicioso que envia solicitações a serviços locais rodando em um servidor MCP, obtendo assim a capacidade de executar comandos arbitrários na máquina de um desenvolvedor," explicou Lumelsky.
"O fato de as configurações padrões exporem servidores MCP a esses tipos de ataques significa que muitos desenvolvedores podem estar inadvertidamente abrindo um backdoor para sua máquina." Especificamente, o conceito de prova (proof-of-concept, PoC) utiliza o endpoint de Server-Sent Events (SSE) para enviar uma solicitação maliciosa de um site controlado pelo atacante para alcançar RCE na máquina executando a ferramenta mesmo se estiver escutando em localhost (127.0.0.1).
Isso funciona porque o endereço IP 0.0.0.0 diz ao sistema operacional para escutar em todos os endereços IP atribuídos à máquina, incluindo a interface de loopback local (ou seja, localhost).
Em um cenário hipotético de ataque, um atacante poderia configurar uma página web falsa e enganar um desenvolvedor para visitá-la, momento no qual o JavaScript malicioso incorporado na página enviaria uma solicitação para 0.0.0.0:6277 (a porta padrão em que o proxy funciona), instruindo o servidor proxy do MCP Inspector a executar comandos arbitrários.
O ataque também pode aproveitar técnicas de rebinding de DNS para criar um registro DNS forjado que aponte para 0.0.0.0:6277 ou 127.0.0.1:6277 a fim de contornar controles de segurança e obter privilégios de RCE.
Após a divulgação responsável em abril de 2025, a vulnerabilidade foi corrigida pelos mantenedores do projeto em 13 de junho com o lançamento da versão 0.14.1.
As correções adicionam um token de sessão ao servidor proxy e incorporam validação de origem para fechar completamente o vetor de ataque.
"Serviços em localhost podem parecer seguros, mas são frequentemente expostos à internet pública devido às capacidades de roteamento de rede em navegadores e clientes MCP," disse a Oligo.
"A mitigação adiciona Autorização, que estava faltando na configuração padrão antes da correção, bem como verificando os cabeçalhos Host e Origin em HTTP, garantindo que o cliente esteja realmente visitando de um domínio conhecido e confiável.
Agora, por padrão, o servidor bloqueia ataques de DNS rebinding e CSRF." A descoberta do
CVE-2025-49596
ocorre dias depois de a Trend Micro detalhar uma falha de SQL injection não corrigida no servidor MCP SQLite da Anthropic, que poderia ser explorada para semear prompts maliciosos, exfiltrar dados e assumir o controle dos fluxos de trabalho do agente.
"Agentes de AI frequentemente confiam em dados internos, seja de bancos de dados, entradas de log ou registros em cache, tratando-os como seguros," disse o pesquisador Sean Park.
Um atacante pode explorar essa confiança ao embutir um prompt nesse ponto e pode posteriormente fazer o agente chamar ferramentas poderosas (email, banco de dados, APIs de nuvem) para roubar dados ou mover-se lateralmente, tudo enquanto contorna verificações de segurança anteriores.
Embora o projeto open-source tenha sido anunciado como uma implementação de referência e não destinado ao uso em produção, foi bifurcado mais de 5.000 vezes.
O repositório no GitHub foi arquivado em 29 de maio de 2025, significando que não foram planejadas correções para essa lacuna.
"A lição é clara. Se permitirmos que os erros de aplicações web de ontem deslizem para a infraestrutura de agentes de hoje, presenteamos os atacantes com um caminho sem esforço da injeção de SQL para o comprometimento total do agente," disse Park.
Os achados também seguem um relatório da Backslash Security que encontrou centenas de servidores MCP suscetíveis a duas grandes má configurações: Permitindo a execução de comandos arbitrários na máquina do hospedeiro devido ao tratamento de entrada não verificado e permissões excessivas, e tornando-os acessíveis a qualquer parte na mesma rede local devido a eles estarem explicitamente vinculados a 0.0.0.0, uma vulnerabilidade apelidada de NeighborJack.
"Imagine que você está codificando em um espaço de coworking compartilhado ou café.
Seu servidor MCP está silenciosamente rodando em sua máquina," disse a Backslash Security.
A pessoa sentada perto de você, saboreando seu latte, pode agora acessar seu servidor MCP, se passar por ferramentas e potencialmente realizar operações em seu nome.
É como deixar seu laptop aberto – e desbloqueado para todos na sala. Porque MCPs, por design, são construídos para acessar fontes de dados externas, eles podem servir como caminhos secretos para a injeção de prompts e envenenamento de contexto, influenciando assim o resultado de um LLM ao analisar dados de um site controlado pelo atacante que contém instruções ocultas.
"Uma maneira de proteger um servidor MCP pode ser processar cuidadosamente qualquer texto raspado de um website ou banco de dados para evitar o envenenamento de contexto," disse o pesquisador Micah Gold.
No entanto, essa abordagem torna as ferramentas pesadas – ao exigir que cada ferramenta individual reimplemente o mesmo recurso de segurança – e deixa o usuário dependente do protocolo de segurança da ferramenta MCP individual. Uma abordagem melhor, notou a Backslash Security, é configurar regras de AI com clientes MCP para proteger contra servidores vulneráveis.
Essas regras referem-se a prompts ou instruções predefinidos que são atribuídos a um agente de AI para guiar seu comportamento e garantir que ele não quebre protocolos de segurança.
"Condicionando agentes de AI a serem céticos e cientes da ameaça representada pelo envenenamento de contexto via regras de AI, os clientes MCP podem ser protegidos contra servidores MCP," disse Gold.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...