Pesquisadores de segurança cibernética descobriram uma vulnerabilidade crítica de segurança no projeto MCP Inspector da Anthropic, uma empresa de inteligência artificial. Essa falha, que recebeu o identificador CVE-2025-49596, possui uma pontuação CVSS de 9.4 em 10.0, indicando sua alta severidade. A exploração bem-sucedida dessa vulnerabilidade pode resultar em execução remota de código (RCE), permitindo que um atacante obtenha acesso completo às máquinas dos desenvolvedores. Este evento marca um dos primeiros RCEs críticos no ecossistema MCP da Anthropic, expondo uma nova classe de ataques baseados em navegador contra ferramentas de desenvolvimento de IA, com sérios riscos para equipes de IA, projetos de código aberto e adotantes corporativos que dependem do MCP.
O Model Context Protocol (MCP), introduzido pela Anthropic em novembro de 2024, é um protocolo aberto que visa padronizar a integração e o compartilhamento de dados entre aplicações de Large Language Model (LLM) e fontes de dados ou ferramentas externas. O MCP Inspector é uma ferramenta de desenvolvimento essencial para testar e depurar servidores MCP, que por sua vez expõem capacidades específicas através do protocolo, permitindo que um sistema de IA acesse e interaja com informações além de seus dados de treinamento. A ferramenta é composta por dois componentes principais: um cliente que oferece uma interface interativa para testes e depuração, e um servidor proxy que faz a ponte entre a interface web e os diversos servidores MCP.
A vulnerabilidade crítica no Inspector (CVE-2025-49596) é uma falha de Cross-Site Request Forgery (CSRF). No entanto, o problema é significativamente agravado por uma configuração padrão insegura: o servidor proxy do MCP Inspector, por padrão, não possui proteções de autenticação e criptografia. Adicionalmente, ele possui permissões para gerar processos locais e se conectar a qualquer servidor MCP especificado. Esta "má configuração" cria uma superfície de ataque substancial, pois qualquer pessoa com acesso à rede local ou à internet pública pode potencialmente interagir e explorar esses servidores, resultando em riscos de segurança "significativos", conforme a Oligo Security.
O ataque se desenrola encadeando uma falha de segurança conhecida em navegadores web modernos, apelidada de "0.0.0.0 Day", com a vulnerabilidade CSRF no Inspector (CVE-2025-49596). O "0.0.0.0 Day" é uma vulnerabilidade de 19 anos em navegadores web que pode permitir que sites maliciosos invadam redes locais. Ela explora a incapacidade dos navegadores de lidar com segurança com o endereço IP 0.0.0.0, levando à execução de código. Ataques podem ser orquestrados através da criação de um site malicioso que envia requisições para serviços localhost em execução em um servidor MCP, concedendo a capacidade de executar comandos arbitrários na máquina do desenvolvedor. A configuração padrão que expõe os servidores MCP a esses ataques significa que muitos desenvolvedores podem inadvertidamente estar abrindo uma backdoor em suas máquinas.
Um cenário de ataque hipotético ilustra como essa exploração pode ocorrer: a prova de conceito (PoC) utiliza o endpoint Server-Sent Events (SSE) para despachar uma requisição maliciosa de um site controlado por um atacante, a fim de alcançar RCE na máquina que executa a ferramenta, mesmo que esteja ouvindo em localhost (127.0.0.1). Isso é possível porque o endereço IP 0.0.0.0 instrui o sistema operacional a "ouvir" em todos os endereços IP atribuídos à máquina, incluindo a interface de loopback local (ou seja, localhost). Um atacante pode criar uma página web falsa e induzir um desenvolvedor a visitá-la; o JavaScript malicioso incorporado na página então enviaria uma requisição para 0.0.0.0:6277 (a porta padrão na qual o proxy é executado), instruindo o servidor proxy do MCP Inspector a executar comandos arbitrários. O ataque também pode empregar técnicas de DNS rebinding para criar um registro DNS forjado apontando para 0.0.0.0:6277 ou 127.0.0.1:6277, contornando controles de segurança e obtendo privilégios de RCE.
Após uma divulgação responsável em abril de 2025, a vulnerabilidade foi corrigida pelos mantenedores do projeto em 13 de junho, com o lançamento da versão 0.14.1. As correções implementam um token de sessão no servidor proxy e incorporam validação de origem, efetivamente bloqueando o vetor de ataque. Com essas atualizações, o servidor bloqueia por padrão ataques de DNS rebinding e CSRF, adicionando autorização que estava ausente nas configurações anteriores e verificando os cabeçalhos Host e Origin HTTP para garantir que o cliente esteja visitando de um domínio conhecido e confiável. Oligo Security ressaltou que, embora serviços localhost possam parecer seguros, eles frequentemente estão expostos à internet pública devido às capacidades de roteamento de rede em navegadores e clientes MCP.
A descoberta do CVE-2025-49596 surge poucos dias após a Trend Micro detalhar um bug de injeção SQL não corrigido no servidor SQLite MCP da Anthropic, que poderia ser explorado para injetar prompts maliciosos, exfiltrar dados e assumir o controle de fluxos de trabalho de agentes. Sean Park, um pesquisador, observou que agentes de IA frequentemente confiam em dados internos (de bancos de dados, logs ou registros em cache), tratando-os como seguros. Um atacante pode explorar essa confiança inserindo um prompt malicioso nesse ponto, que posteriormente poderia fazer com que o agente acionasse ferramentas poderosas (e-mail, banco de dados, APIs de nuvem) para roubar dados ou se mover lateralmente, contornando verificações de segurança anteriores. Embora esse projeto de código aberto tenha sido concebido como uma implementação de referência e não para uso em produção, ele foi forked mais de 5.000 vezes. Além disso, o repositório GitHub foi arquivado em 29 de maio de 2025, o que implica que nenhuma correção adicional está planejada para essa deficiência.
Adicionalmente, um relatório da Backslash Security revelou que centenas de servidores MCP são suscetíveis a duas más configurações importantes: a primeira permite a execução arbitrária de comandos na máquina host devido ao tratamento de entrada não verificado e permissões excessivas; a segunda os torna acessíveis a qualquer parte na mesma rede local por estarem explicitamente vinculados a 0.0.0.0, uma vulnerabilidade apelidada de NeighborJack. A Backslash Security descreve o cenário do NeighborJack: "Imagine que você está codificando em um espaço de coworking ou café compartilhado. Seu servidor MCP está silenciosamente sendo executado em sua máquina. A pessoa sentada perto de você, tomando seu café com leite, agora pode acessar seu servidor MCP, simular ferramentas e potencialmente executar operações em seu nome. É como deixar seu laptop aberto – e desbloqueado para todos na sala". Devido ao seu design para acessar fontes de dados externas, os MCPs podem servir como caminhos ocultos para injeção de prompt e envenenamento de contexto, influenciando o resultado de um LLM ao analisar dados de um site controlado por um atacante que contém instruções ocultas.
Para mitigar o envenenamento de contexto, uma abordagem sugerida por Micah Gold é processar cuidadosamente qualquer texto extraído de um site ou banco de dados. No entanto, Gold observa que essa abordagem "incha" as ferramentas, exigindo que cada ferramenta individual reimplemente o mesmo recurso de segurança, e deixa o usuário dependente do protocolo de segurança da ferramenta MCP individual. Uma abordagem superior, segundo a Backslash Security, é configurar regras de IA com clientes MCP para se proteger contra servidores vulneráveis. Essas regras são prompts ou instruções predefinidas atribuídas a um agente de IA para guiar seu comportamento e garantir que ele não viole protocolos de segurança. Ao condicionar os agentes de IA a serem céticos e conscientes da ameaça representada pelo envenenamento de contexto via regras de IA, os clientes MCP podem ser protegidos contra servidores MCP.
Em suma, a emergência dessas vulnerabilidades críticas no ecossistema Anthropic MCP sublinha a necessidade urgente de uma postura de segurança proativa no desenvolvimento e implantação de ferramentas de IA. A lição é clara: permitir que "erros de aplicativos web de ontem" se infiltrem na "infraestrutura de agentes de hoje" oferece aos atacantes um caminho fácil da injeção SQL para o comprometimento completo do agente. A proteção exige uma combinação de correções de vulnerabilidades de software, configurações de segurança reforçadas por padrão e o desenvolvimento de agentes de IA mais "céticos" e conscientes da segurança para navegar em dados potencialmente maliciosos.