O ecossistema MCP cresceu rápido — a segurança não
O Model Context Protocol foi lançado no final de 2024. Em menos de 18 meses tornou-se o padrão para conectar ferramentas de IA a sistemas externos. Em março de 2026, o ecossistema cobre conectores de banco de dados, servidores de arquivos, pontes do GitHub, clientes do Slack, ferramentas de email e centenas de servidores especializados.
A curva de crescimento é íngreme. O cenário de segurança não é.
Em março de 2026, mais de 8.000 servidores MCP estão acessíveis na internet pública. Pesquisadores encontraram 492 sem nenhuma autenticação — sem chave de API, sem OAuth, sem filtro de IP. Qualquer cliente HTTP pode chamá-los. 36,7% dos endpoints testados são vulneráveis a SSRF (Server-Side Request Forgery). Isso significa que um atacante que controla a entrada de ferramentas pode alcançar recursos de rede internos.
No mesmo período, mais de 30 CVEs foram registrados em 60 dias. Essa taxa mostra tanto a imaturidade do ecossistema quanto a intensidade da atenção dos pesquisadores.
Por que o protocolo cria risco de PII
O MCP dá aos assistentes de IA o poder de agir sobre dados. Isso também é o motivo pelo qual é um vetor de risco de PII.
Quando um desenvolvedor usa Cursor ou Claude Desktop com um conector de banco de dados, a IA gera SQL a partir de texto natural. Essas consultas retornam linhas reais — nomes, emails, dados de pagamento ou outros PII. Esses dados se movem por uma cadeia:
- Endpoint de banco de dados → janela de contexto do assistente IA
- Janela de contexto → sistemas de log do provedor de modelos
- Histórico de conversa → máquina local do desenvolvedor
- Sessões de depuração → outras ferramentas de IA quando o desenvolvedor cola contexto
Nenhum desses passos é uma violação. É assim que o sistema funciona. Mas PII acaba em múltiplos lugares não projetados para isso, muitas vezes sem criptografia entre o endpoint e o cliente IA.
CVE-2026-25253 (CVSS 8.8), publicado em fevereiro de 2026, mostrou um vetor de ataque concreto. Um endpoint malicioso podia injetar instruções ocultas em suas respostas. Essas instruções mandavam a IA conectada buscar dados de outras ferramentas ativas. Um desenvolvedor usando um endpoint comunitário comprometido ao lado de seu próprio conector de banco de dados podia vazar todo o banco de dados.
Os 492 servidores sem autenticação
Os 492 endpoints abertos são um problema diferente do CVE-2026-25253. Eles não foram hackeados. Foram mal configurados.
A maioria era destinada a rodar localmente. Alguém os expôs via port forwarding ou implantação em nuvem sem controles de acesso.
O que esses endpoints costumam expor:
- Ferramentas de sistema de arquivos com acesso de leitura a pastas pessoais
- Conectores de banco de dados com credenciais de produção na configuração
- Ferramentas de email vinculadas a caixas de entrada reais
- Ferramentas de execução de código — código arbitrário, sem auth, sem limites
Os desenvolvedores quase certamente não pretendiam expô-los. Mas Cursor e Claude Desktop se conectam a qualquer URL na configuração. Não há verificação integrada para saber se um host é local ou público.
A solução MCP da anonym.legal
A solução estrutural para o risco de PII em pipelines de ferramentas é anonimizar os dados antes que cheguem a uma chamada que os envia para um LLM. É isso que o servidor MCP da anonym.legal oferece.
Ele expõe 7 ferramentas:
| Ferramenta | Propósito |
|---|---|
analyze_text | Detectar entidades PII e retornar suas posições e tipos |
anonymize_text | Remover ou pseudonimizar PII detectados |
deanonymize_text | Reverter a pseudonimização usando sua chave de criptografia |
anonymize_batch | Processar múltiplos textos em uma chamada |
get_supported_entities | Listar os 285+ tipos de entidades para um idioma |
get_supported_languages | Listar os 48 idiomas suportados |
health_check | Verificar conectividade |
Quando um assistente IA tem tanto o servidor da anonym.legal quanto um conector de banco de dados configurados, o desenvolvedor pode instruir: «Antes de mostrar dados de clientes, chame anonymize_text no resultado.» A IA cuida da orquestração. PII nunca chega à saída visível ou ao histórico de conversa em forma identificável.
Configuração no Cursor IDE
Para adicionar o servidor da anonym.legal ao Cursor:
// .cursor/mcp.json
{
"mcpServers": {
"anonym-legal": {
"url": "https://anonym.legal/mcp",
"transport": "sse",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
Uma vez configurado, pergunte ao Cursor: «Analise este ticket de suporte para PII antes de eu colá-lo no tracker.» O Cursor chama analyze_text, retorna a lista de entidades, e você decide se anonimiza antes de colar.
Configuração no Claude Desktop
// claude_desktop_config.json
{
"mcpServers": {
"anonym-legal": {
"command": "npx",
"args": ["-y", "@anonym-legal/mcp-server"],
"env": {
"ANONYM_API_KEY": "YOUR_API_KEY"
}
}
}
}
Com essa configuração, o Claude Desktop pode anonimizar qualquer texto antes de incluí-lo em chamadas de ferramentas para outros endpoints. PII nunca chega aos servidores da Anthropic em forma identificável.
Fortalecer sua configuração
Além de usar anonym.legal, aplique estes passos. Consulte também nossa visão geral de segurança e nosso centro de conformidade.
Audite sua lista de ferramentas. Verifique cada entrada na sua configuração. Você confia no operador? Você sabe que dados ele pode acessar?
Prefira local a remoto. Endpoints locais rodam via stdio. Não criam exposição de rede. Use endpoints remotos apenas quando não houver opção local.
Verifique a autenticação. Todo endpoint remoto deve exigir uma chave de API ou token OAuth. Se não exigir, não o use com dados de usuários reais.
Separe desenvolvimento de produção. Mantenha configurações separadas para trabalho de desenvolvimento (dados de teste, sem PII) e qualquer fluxo que toque usuários reais.
Ative logs de auditoria. Se suportar logs, ative-os. Saiba quais dados passaram por cada chamada.
Nossa página de recursos MCP tem a lista completa de tipos de entidades e idiomas.
Os mais de 30 CVEs em 60 dias mostram que o protocolo está sob escrutínio ativo. Novas vulnerabilidades vão aparecer. Mas a defesa central — anonimizar antes que os dados cheguem a qualquer chamada LLM — funciona contra qualquer CVE específico que apareça depois.
Configurar o servidor da anonym.legal no Cursor →
A anonym.legal processa anonimização de PII no lado do servidor usando sua chave de criptografia. Dados pseudonimizados são reversíveis apenas com essa chave. Publicado pela anonym.legal, certificada ISO 27001.
Fontes
- Dados de exposição de servidores MCP do Shodan, março de 2026 — mais de 8.000 servidores, 492 sem autenticação
- CVE-2026-25253, CVSS 8.8, injeção cross-servidor via Model Context Protocol
- Dados SSRF: varredura de pesquisa de segurança de endpoints acessíveis publicamente, março de 2026
- Especificação MCP da Anthropic v1.2, seção de considerações de segurança