Falha crítica no MCP da Anthropic permite RCE
Uma vulnerabilidade crítica recentemente descoberta no Model Context Protocol (MCP) da Anthropic — catalogada como CVE-2025-49596 — coloca desenvolvedores que utilizam a ferramenta MCP Inspector em risco de execução remota de código (RCE). Com pontuação CVSS 9,4, a falha mostra como erros clássicos de configuração podem abrir portas para ataques modernos contra ecossistemas de inteligência artificial (IA). Entenda o risco da Falha crítica no MCP da Anthropic
Pesquisadores da Oligo Security mostraram que, ao explorar um bug de Cross-Site Request Forgery (CSRF) combinado com a vulnerabilidade do navegador conhecida como 0.0.0.0 Day, invasores obtêm controle total do host desenvolvedor apenas com o acesso a um site malicioso.
Tabela de conteúdos
O que é o Model Context Protocol?
Lançado pela Anthropic em novembro de 2024, o MCP padroniza a forma como aplicações de large language models (LLMs) se comunicam com fontes e ferramentas externas. Na prática, ele permite que agentes de IA chamem APIs, consultem bancos de dados ou executem scripts de maneira controlada, estendendo o conhecimento além do corpus de treinamento.
Para facilitar testes, a empresa mantém o MCP Inspector, utilitário que cria uma interface web e um proxy local (porta padrão 6277) capaz de despachar comandos. Aqui reside o problema: por padrão, o servidor fica exposto em 0.0.0.0 e não exige autenticação nem criptografia.
Como o ataque acontece
- Preparação do invasor: cria um site malicioso com JavaScript capaz de fazer requisições às portas locais do alvo.
- Exploração 0.0.0.0 Day: navegadores não isolam corretamente o IP
0.0.0.0. Assim, o script consegue alcançar o servidor MCP exposto. - CSRF no Inspector: falta de token de sessão permite que a requisição chame métodos internos do proxy.
- Execução de comando: utilizando o endpoint de Server-Sent Events (SSE), o atacante envia um payload que o próprio MCP executa no sistema operacional.
No vídeo animado acima, a calculadora do sistema é aberta automaticamente depois que o desenvolvedor visita o site malicioso — prova de que o invasor alcançou RCE. Basta um clique.
Por que a falha é tão grave?
Dentro do fluxo de desenvolvimento de IA, o MCP Inspector roda em máquinas de alta confiança, muitas vezes com acesso a tokens de nuvem, repositórios privados e dados sensíveis. Comprometer esse ambiente significa:
- Roubo de código-fonte e segredos de API.
- Instalação de backdoors para ataques futuros.
- Movimentação lateral em redes corporativas.
- Contaminação de modelos via prompt injection ou envenenamento de contexto.
Correção e mitigação
Após a divulgação responsável em abril de 2025, os mantenedores liberaram a versão 0.14.1, que introduz:
- Token de sessão obrigatório entre cliente e proxy.
- Validação de cabeçalhos
HosteOriginpara impedir DNS rebinding. - Bloqueio de comandos vindos de domínios não confiáveis.
Usuários devem atualizar imediatamente e revisar configurações de rede:
- Executar o Inspector apenas em
127.0.0.1ou interface de loopback segura. - Adicionar autenticação TLS mútua quando exposto fora da máquina.
- Monitorar tráfego para portas locais incomuns (ex.: 6277).
Lições para times de segurança e IA
O caso reforça um ponto: “falhas web de ontem” continuam perigosas em arquiteturas de agentes de IA. A combinação de serviços locais, browsers permissivos e ausência de hardening cria um vetor de baixo esforço para invasores. Portanto:
- Implemente princípio do menor privilégio em agentes e ferramentas.
- Audite dependências open source e forks não mantidos (o servidor SQLite MCP já possui SQL injection sem correção).
- Crie AI Rules para que modelos rejeitem contextos suspeitos.
Linha do tempo do CVE-2025-49596
| Data | Evento |
| 04/04/2025 | Reporte de vulnerabilidade à Anthropic |
| 13/06/2025 | Lançamento do patch 0.14.1 |
| 01/07/2025 | Divulgação pública pela Oligo Security |
Perspectivas futuras
À medida que grandes empresas integram agentes autônomos em fluxos de produção, falhas em protocolos de contexto — como o MCP — podem evoluir de proof-of-concept para cadeias de ataque sofisticadas envolvendo prompt injection, shadow APIs e movimentação lateral automatizada. Investir em AppSec para IA e em arquiteturas de confiança zero deixa de ser opcional.
Considerações finais sobre a Falha crítica no MCP da Anthropic
A vulnerabilidade MCP da Anthropic é um alerta: mesmo projetos referência podem carregar configurações inseguras. Atualize, restrinja acesso e eduque devs sobre riscos de expor serviços locais. A superfície de ataque da IA cresce a cada dia; a postura defensiva precisa acompanhá-la.
O que é o CVE-2025-49596?
É uma vulnerabilidade crítica (CVSS 9,4) no MCP Inspector que permite execução remota de código via CSRF quando combinado com 0.0.0.0 Day. Afeta versões < 0.14.1.
Como me proteger da falha no MCP?
Atualize para a versão 0.14.1 ou superior, execute o serviço apenas em 127.0.0.1, habilite autenticação e TLS, e monitore a porta 6277 para tráfego suspeito.
O problema afeta ambientes de produção?
O MCP Inspector é voltado a testes, mas muitos desenvolvedores o mantêm ativo em máquinas que possuem credenciais de produção, expondo ambientes reais se comprometidos.
Qual a relação com 0.0.0.0 Day?
A vulnerabilidade 0.0.0.0 Day permite que navegadores tratem 0.0.0.0 como localhost, facilitando que sites externos alcancem serviços expostos sem autenticação.
