AI Fusion Center

MCP 

Nenhuma análise honesta do MCP pode ignorar seus desafios de segurança. Em abril de 2025, pesquisadores publicaram uma análise detalhada identificando múltiplas vulnerabilidades estruturais.

Injeção de prompt via ferramenta

O ataque mais sofisticado identificado é a injeção de prompt por meio de descrições de ferramentas maliciosas. Como o modelo de linguagem recebe as descrições de ferramentas do servidor e as usa para tomar decisões, um servidor malicioso pode incluir instruções ocultas nessas descrições que desviam o comportamento do agente. A especificação alerta explicitamente que descrições de ferramentas devem ser tratadas como não confiáveis a menos que venham de servidores verificados.

 

Ferramentas “lookalike” e exfiltração de dados

Pesquisadores demonstraram que ferramentas com nomes similares a ferramentas confiáveis podem substituí-las silenciosamente em certos cenários. A combinação de múltiplas ferramentas pode criar fluxos de dados não intencionais — por exemplo, uma ferramenta que lê arquivos combinada com uma que faz requisições de rede pode, em tese, exfiltrar dados sem que o usuário perceba.

Em dezembro de 2025, um ataque denominado CVE-2025-49596 transformou o MCP Inspector — uma ferramenta de depuração amplamente usada — em vetor de comprometimento de ambientes de desenvolvimento. A vulnerabilidade de OAuth no componente mcp-remote permitia a captura de credenciais e a execução remota de código.

 

Princípios de segurança para implantações MCP

  1. Implemente fluxos robustos de consentimento e autorização explícitos.
  2. Trate descrições de ferramentas como entradas não confiáveis.
  3. Aplique o princípio do menor privilégio em cada servidor.
  4. Monitore e audite todas as invocações de ferramentas.
  5. Use ferramentas de containerização (como Docker MCP Toolkit) para isolar servidores em produção.

 

O Docker MCP Toolkit, lançado em parceria com Stripe, Elastic e Neo4j, traz segurança de nível container ao ecossistema MCP, com isolamento por sandbox, controles de acesso e logs de auditoria centralizados.

 

Futuro do protocolo

A decisão de dezembro de 2025 de transferir o MCP para a Agentic AI Foundation (AAIF), um fundo dirigido pela Linux Foundation, foi o movimento mais estratégico da história do protocolo. Com membros fundadores incluindo Anthropic, OpenAI, Block, Google, Microsoft, AWS, Cloudflare e Bloomberg, o MCP passou de projeto open-source de uma empresa para infraestrutura crítica da indústria.

A comparação com outros projetos da Linux Foundation é reveladora: o Linux Kernel, o Kubernetes, o Node.js e o PyTorch compartilham o mesmo modelo de governança. São projetos que transcenderam qualquer empresa individual para se tornar fundação tecnológica sobre a qual industrias inteiras são construídas.

“Garantir que o MCP permaneça aberto, neutro e orientado pela comunidade enquanto se torna infraestrutura crítica para a IA.” — Linux Foundation, dezembro de 2025

 

Atualizações da especificação de novembro de 2025

  • Operações assíncronas — servidores processam requisições demoradas sem bloquear sessões.
  • Modelo stateless — simplifica a escalabilidade horizontal.
  • Identidade de servidor — resolve problemas de autenticação em implantações multi-tenant.
  • Registro oficial de servidores MCP — mercado verificado de conectores, análogo ao npm para pacotes JavaScript.

 

Skills vs. MCP

Uma tensão produtiva emergiu no ecossistema. Enquanto o MCP resolve o problema de conectividade com excelência, cada ferramenta declarada consome tokens do contexto do modelo. A resposta são as Skills: módulos de capacidade leves que carregam sob demanda. A tendência é que grandes sistemas usem MCP para acesso a sistemas externos e Skills para capacidades especializadas.

 

Agent2Agent: o próximo protocolo

O Google DeepMind trabalha paralelamente no protocolo Agent2Agent (A2A), que endereça a comunicação entre agentes de IA — não entre agentes e sistemas externos, como o MCP, mas entre agentes autônomos cooperando para resolver problemas complexos. Os dois protocolos são complementares: o MCP conecta agentes ao mundo; o A2A conecta agentes entre si.

 

Impacto e análise final

Avaliado puramente como especificação técnica, o MCP é elegante mas não revolucionário. O JSON-RPC 2.0 existe desde 2010. O padrão cliente-servidor tem décadas. O que torna o MCP historicamente significativo não é o que ele é, mas o que ele representa: o primeiro momento em que os principais players da indústria de IA decidiram, coletivamente, que a camada de integração deveria ser aberta e compartilhada.

Para empresas de SaaS, o MCP significa que qualquer sistema que implemente o protocolo servidor torna-se automaticamente acessível a qualquer modelo de IA que implemente o protocolo cliente — sem integrações customizadas, sem dependência de fornecedor específico.

Para usuários finais, o MCP significa que assistentes de IA podem agir com contexto genuíno sobre o mundo — não apenas sobre o que foi digitado na conversa, mas sobre os sistemas, dados e ferramentas que compõem o ambiente de trabalho real de cada pessoa.

Para a indústria de IA como um todo, a doação do MCP à Linux Foundation representa uma aposta explícita: a competição entre modelos de linguagem será decidida pela qualidade dos modelos, não pelo controle da infraestrutura de integração. É o reconhecimento de que ecossistemas abertos geram mais valor do que jardins murados — a lição que o HTTP ensinou à internet, que o USB ensinou ao hardware, e que o MCP está ensinando à inteligência artificial.

“Um ano atrás, conectar IA a dados significava código customizado para cada integração. Hoje, o MCP transformou isso em infraestrutura — invisível, onipresente e compartilhada.” — Comunidade MCP, dezembro de 2025

 

Fontes

  1. Anthropic. Introducing the Model Context Protocol. Blog oficial, novembro de 2024.
    https://www.anthropic.com/news/model-context-protocol
  2. Anthropic. Donating the Model Context Protocol and Establishing the Agentic AI Foundation. Dezembro de 2025.
    https://www.anthropic.com/news/donating-the-model-context-protocol-and-establishing-of-the-agentic-ai-foundation
  3. Model Context Protocol. Especificação oficial — versão 2025-11-25.
    https://modelcontextprotocol.io/specification/2025-11-25
  4. Wikipedia. Model Context Protocol. Última edição: março de 2026.
    https://en.wikipedia.org/wiki/Model_Context_Protocol
  5. Taft, D. K.; Lawson, L. Why the Model Context Protocol Won. The New Stack, março de 2025.
    https://thenewstack.io/why-the-model-context-protocol-won/
  6. Pento. A Year of MCP: From Internal Experiment to Industry Standard. Dezembro de 2025.
    https://www.pento.ai/blog/a-year-of-mcp-2025-review
  7. Raina, A. One Year of Model Context Protocol: From Experiment to Industry Standard. Dezembro de 2025.
    https://www.ajeetraina.com/one-year-of-model-context-protocol-from-experiment-to-industry-standard/
  8. Gupta, D. The Complete Guide to Model Context Protocol (MCP). Dezembro de 2025.
    https://guptadeepak.com/the-complete-guide-to-model-context-protocol-mcp-enterprise-adoption-market-trends-and-implementation-strategies/
  9. OpenCV. A Beginners Guide on Model Context Protocol (MCP). Abril de 2025.
    https://opencv.org/blog/model-context-protocol/
  10. Verdantix. MCP and the Future of LLMs: A New Standard for Enterprise SaaS Integration. 2025.
    https://www.verdantix.com/client-portal/blog/mcp-and-the-future-of-llms-a-new-standard-for-enterprise-saas-integration
Leia outras matérias
Consultoria especializada em IA
  • +55 11 99282-2331
  • contato@volcano.com.br

Todos os direitos reservados Volcano 2025