Seu time conectou uma dúzia de servidores MCP nos agentes de IA no mês passado. GitHub, Slack, Jira, talvez um banco de dados ou dois. MCP — Model Context Protocol — é como uma porta USB universal para ferramentas de IA: plugue um servidor, e seu agente de IA pode abrir tickets, mandar mensagens, consultar dados. Simplesmente funciona. Parece mágica.

Mas alguém checou quem mantém esses servidores? Quando o código foi atualizado pela última vez? Se algum ser humano sequer auditou aquilo? Provavelmente não — porque o MCP fez conectar ferramentas parecer tão fácil quanto instalar uma extensão de navegador.

A Casa Está Pegando Fogo

Nas duas primeiras semanas de abril de 2026, a mágica parou de funcionar.

Em 11 de abril, pesquisadores divulgaram a CVE-2026-5058 — uma falha de injeção de comando no servidor MCP da AWS com score CVSS 9.8. Em 3 de abril, o servidor MCP do Azure DevOps da Microsoft recebeu a CVE-2026-32211 — CVSS 9.1, zero autenticação num servidor que gerencia infraestrutura de desenvolvimento empresarial. Duas empresas trilionárias, dois servidores que seus agentes provavelmente usam, ambos escancarados. Os detalhes importam menos que o padrão: se AWS e Microsoft não conseguem proteger seus próprios servidores MCP, qual chance tem o servidor comunitário mantido por um dev sozinho?

Sem Lockfile, Sem Segurança

O ecossistema MCP já tem mais de 16.000 servidores construídos pela comunidade. Uma auditoria da Qualys publicada em 20 de março — semanas antes das CVEs de abril começarem a pipocar — já mostrava a fundação rachando: 53% dos servidores dependiam de secrets estáticos — senhas hardcoded que nunca rotacionam.

Aqui está a parte que torna isso pior que o npm — o gerenciador de pacotes que todo dev JavaScript conhece e teme. Pacotes npm podem ter versão travada: você escolhe uma versão, fixa ela, e uma atualização maliciosa não te atinge até você decidir fazer upgrade. Servidores MCP rodando via SSE (Server-Sent Events — uma forma do servidor enviar atualizações em tempo real pro seu app) são serviços ao vivo. Quando o mantenedor faz push de código, todo agente conectado recebe o novo comportamento instantaneamente. Sem lockfile. Sem revisão. Sem consentimento.

Um tool schema — o contrato que diz ao seu agente de IA o que um servidor pode fazer — pode mudar silenciosamente da noite pro dia. Não tem checksum. Não tem notificação de diff. Não tem equivalente a package-lock.json. Seu agente pediu "acesso de leitura às issues do GitHub" na segunda-feira; na quinta o mesmo servidor pode solicitar "acesso de escrita a todos os repositórios", e seu agente vai obedecer porque confia na identidade do servidor, não no conjunto de permissões.

Se isso soa como dar a chave da sua casa pra alguém e confiar que essa pessoa nunca vai trocar a fechadura contra você — é, é basicamente isso.

475 Pull Requests Maliciosos em 26 Horas

A prova chegou em 4 de abril. A Wiz Research publicou a campanha prt-scan: um atacante, seis contas falsas no GitHub, 475 pull requests maliciosos — propostas de alteração de código — disparados contra repositórios de ferramentas para agentes em um único dia. Os payloads roubavam chaves AWS, tokens do GitHub, tokens de API da Cloudflare. O atacante comprometeu pelo menos dois pacotes npm em 106 versões publicadas. A Wiz descreveu a abordagem como "automação, não entendimento" — payloads elaborados de múltiplas fases de alguém que não entendia completamente o modelo de segurança do GitHub, mas ainda assim conseguiu causar dano real.

Então em 16 de abril, a CVE-2026-33032 apareceu: MCPwn, um bypass de autenticação CVSS 9.8 na integração MCP do nginx-ui, ativamente explorado em 2.600 instâncias expostas em mais de 50 países. A correção? Vinte e sete caracteres de código — adicionar uma chamada de middleware. O pesquisador de segurança Yotam Perkal resumiu perfeitamente: "Quando você acopla MCP a uma aplicação existente, os endpoints MCP herdam todas as capacidades da aplicação, mas não necessariamente seus controles de segurança."

Vinte e sete caracteres separavam 2.600 servidores do comprometimento total. Deixa isso assentar.

Cadê a Rede de Proteção?

Ninguém construiu um npm audit pro MCP ainda. Nenhum scan de vulnerabilidades em escala de ecossistema. Nenhum lockfile de dependências para tool schemas. O MCP Registry oficial usa autenticação por namespace atrelada a contas do GitHub, mas não existe auditoria de código obrigatória, nenhuma verificação de mantenedor além de provar que você é dono de um domínio. Ferramentas como mcp-scan existem, mas a adoção é microscópica comparada ao que o ecossistema precisa.

Enquanto isso, empresas conectam esses servidores em workflows de agentes em produção — sistemas de IA autônomos que abrem tickets, fazem push de código e consultam bancos de dados sem um humano clicando em "aprovar" a cada vez. A Qualys chama servidores MCP de "o novo Shadow IT": eles se escondem atrás de localhost, portas aleatórias e plugins de IDE, invisíveis para toda ferramenta de segurança tradicional.

O Que Você Deveria Realmente Fazer

Antes de conectar mais um servidor MCP comunitário nos seus agentes de produção:

  • Verifique a quantidade de mantenedores. Uma pessoa = fator ônibus de um. Se ela enjoar, você herda a dívida de segurança.
  • Confira a data do último commit. Código abandonado não recebe patch.
  • Leia as descrições das tools. Prompt injection — enganar a IA pra fazer coisas indesejadas — se esconde em texto puro, incluindo nos metadados do servidor.
  • Fixe uma versão conhecida localmente. Rode servidores MCP a partir de uma cópia local que você revisou, não de um endpoint remoto ao vivo.
  • Tenha um plano de substituição. Quando o servidor sumir — não se, quando — você precisa trocar ele sem quebrar seus agentes.

O Relógio Está Correndo

O npm levou 15 anos pra aprender que supply chains open-source precisam de governança — do left-pad quebrando metade da internet em 2016, ao event-stream roubando criptomoeda em 2018, até a autenticação de dois fatores obrigatória para mantenedores em 2022. O MCP está speedrunnando a mesma lição em 18 meses, com apostas mais altas: não são bibliotecas que compilam seu app, são serviços ao vivo que agem como seu app.

A primeira grande violação — não uma CVE, não uma prova de conceito, mas dados reais de clientes vazando por um servidor MCP comprometido — vai determinar se o ecossistema constrói infraestrutura de segurança ou simplesmente continua construindo mais servidores.

Minha aposta é nos servidores.