Pesquisadores de cibersegurança descobriram uma falha crítica, considerada “by design”, na arquitetura do Model Context Protocol, ou MCP, que pode abrir caminho para remote code execution e gerar um efeito cascata na cadeia de suprimentos de inteligência artificial, a AI supply chain.
“A falha permite Arbitrary Command Execution, ou RCE, em qualquer sistema que execute uma implementação vulnerável do MCP, dando aos invasores acesso direto a dados sensíveis de usuários, bancos de dados internos, API keys e históricos de conversa”, afirmaram os pesquisadores da OX Security, Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar, em análise publicada na semana passada.
A empresa de cibersegurança informou que a vulnerabilidade sistêmica está embutida no SDK oficial do MCP da Anthropic, em todas as linguagens suportadas, incluindo Python, TypeScript, Java e Rust.
No total, o problema afeta mais de 7 mil servidores publicamente acessíveis e pacotes de software que somam mais de 150 milhões de downloads.
O ponto central da falha está nos padrões inseguros de configuração do MCP quando ele opera sobre o transporte STDIO, de standard input/output.
Isso levou à identificação de 10 vulnerabilidades em projetos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI e LangBot.
As falhas identificadas incluem:
CVE-2025-65720, em GPT Researcher
CVE-2026-30623, em LiteLLM, corrigida
CVE-2026-30624
, em Agent Zero
CVE-2026-30618, em Fay Framework
CVE-2026-33224, em Bisheng, corrigida
CVE-2026-30617
, em Langchain-Chatchat
CVE-2026-33224, em Jaaz
CVE-2026-30625
, em Upsonic
CVE-2026-30615
, em Windsurf
CVE-2026-26015, em DocsGPT, corrigida
CVE-2026-40933, em Flowise
Essas vulnerabilidades se dividem em quatro categorias amplas e, na prática, permitem execução remota de comandos no servidor.
Entre os vetores identificados estão injection de comando autenticada e não autenticada via MCP STDIO, injection de comando não autenticada por meio de configuração direta do STDIO com bypass de hardening, injection de comando não autenticada via edição de configuração do MCP por meio de zero-click prompt injection e injection de comando não autenticada em marketplaces de MCP via requisições de rede, acionando configurações ocultas de STDIO.
“O Model Context Protocol da Anthropic permite uma linha direta entre configuração e execução de comandos por meio da interface STDIO em todas as implementações, independentemente da linguagem de programação”, explicaram os pesquisadores.
“Esse code foi criado para iniciar um servidor local STDIO e devolver ao LLM o handle do STDIO.
Mas, na prática, ele permite que qualquer pessoa execute qualquer comando arbitrário do sistema operacional.
Se o comando criar com sucesso um servidor STDIO, ele retorna o handle.
Caso contrário, retorna um erro depois que o comando já foi executado.”
Curiosamente, vulnerabilidades baseadas no mesmo problema central já haviam sido reportadas de forma independente ao longo do último ano.
Entre elas estão
CVE-2025-49596
, no MCP Inspector, LibreChat,
CVE-2026-22252
, WeKnora,
CVE-2026-22688
, @akoskm/create-mcp-server-stdio,
CVE-2025-54994
, e Cursor,
CVE-2025-54136
.
A Anthropic, porém, recusou alterar a arquitetura do protocolo, alegando que esse comportamento é “esperado”.
Embora alguns fornecedores tenham publicado patches, a falha continua sem correção na implementação de referência do MCP da Anthropic, o que faz com que desenvolvedores herdem os riscos de execução de código.
Os achados evidenciam como integrações com IA podem ampliar, de forma não intencional, a superfície de ataque.
Para reduzir a exposição, especialistas recomendam bloquear o acesso por IP público a serviços sensíveis, monitorar invocações de tools MCP, executar serviços habilitados para MCP em sandbox, tratar como não confiável qualquer entrada externa de configuração e instalar servidores MCP apenas de fontes verificadas.
“O que transformou isso em um evento de supply chain, e não em uma única CVE, foi uma decisão arquitetural tomada uma vez e propagada silenciosamente para todas as linguagens, todas as bibliotecas downstream e todos os projetos que confiaram que o protocolo era aquilo que parecia ser”, disse a OX Security.
“Transferir a responsabilidade para quem implementa não elimina o risco. Apenas oculta quem o criou.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...