Por Stav Nahum
15 de janeiro de 2026
Hoje, a CyCognito anuncia a capacidade de descobrir servidores Model Context Protocol (MCP) externamente acessíveis em toda a superfície de ataque externa e incorporá-los ao inventário de ativos externos e aos fluxos de gerenciamento de exposição externa.
Com este lançamento, as equipes podem:
- Identificar servidores MCP externamente acessíveis
- Incorporar servidores MCP ao inventário de ativos externos
- Entender o contexto de exposição, incluindo como cada servidor é acessível
Estamos introduzindo essa capacidade porque servidores MCP externamente acessíveis representam uma classe distinta de exposição externa. À medida que sistemas de IA deixam a fase de experimentação e entram em produção, esses servidores estão aparecendo em mais ambientes, porém muitas vezes fora da visibilidade externa padrão.
Como o MCP se Encaixa no Gerenciamento de Exposição Externa
O relatório ISG State of Enterprise AI Adoption constatou que cerca de 1 em cada 3 iniciativas de IA já estão em produção, indicando uma mudança do piloto para o uso operacional. Os servidores MCP fazem parte da camada de integração que torna essa transição possível, intermediando o acesso a capacidades como fontes de dados, serviços e caminhos de execução.
Do ponto de vista de gerenciamento da superfície de ataque, um servidor MCP externamente acessível é uma superfície invocável. Seu perfil de risco é definido por:
- Quais ferramentas estão expostas
- Como essas ferramentas são invocadas
- Em quais sistemas elas podem atuar
- Como os controles de acesso se comportam na prática
É importante destacar que essa superfície é altamente dinâmica. Ela pode mudar por meio de atualizações de configuração, novas ferramentas, componentes auxiliares ou mudanças na forma como os agentes interagem com o servidor, às vezes fora dos processos padrão de implantação e revisão.
É por isso que servidores MCP exigem o mesmo nível de escrutínio que qualquer outro serviço externamente acessível capaz de executar ações ou alcançar sistemas sensíveis quando os controles de acesso falham.
Onde a Segurança do MCP Falha
A descoberta de capacidades se torna um mapa de ações
Muitos servidores MCP oferecem fluxos de introspecção que permitem aos chamadores enumerar ferramentas disponíveis e seus esquemas. Dependendo da implantação, esses fluxos podem ser expostos por métodos JSON-RPC ou endpoints HTTP que retornam metadados das ferramentas.
A introspecção se torna um risco quando é externamente acessível e não é rigidamente controlada. Nesse caso, nomes de ferramentas, descrições e esquemas de argumentos podem revelar operações privilegiadas, integrações internas e pressupostos de confiança. Isso reduz a incerteza do atacante e possibilita abusos direcionados, especialmente quando ferramentas invocáveis expõem sistemas de arquivos, APIs internas ou funções administrativas.
O risco não é a introspecção em si. É a combinação de introspecção com acessibilidade externa e capacidades invocáveis insuficientemente restritas.
“Autenticação existe” não é o mesmo que “autenticação é aplicada”
Um modo recorrente de falha em MCP é a aplicação inconsistente de autenticação. Um servidor MCP pode exigir autenticação para algumas ferramentas, mas não para outras, aplicar políticas diferentes entre componentes ou depender de ferramentas auxiliares de proxy ou inspeção que aceitam requisições não autenticadas.
Isso não é teórico. A CVE-2025-49596 (MCP Inspector) descreve execução remota de código causada pela ausência de autenticação entre o cliente Inspector e o proxy nas versões afetadas.
Na prática, essas lacunas criam caminhos de execução externamente acessíveis que são fáceis de ignorar durante revisões, mas simples de explorar uma vez identificados.
A execução de ferramentas aumenta o raio de impacto
Servidores MCP frequentemente intermediam acesso a operações de alto impacto, incluindo comandos de shell, sistemas de arquivos, APIs internas e ações no plano de controle em nuvem. Quando essas ferramentas são externamente acessíveis, a exposição deixa de ser apenas acesso a dados e passa a ser ação direta.
A CVE-2025-6514 (mcp-remote) ilustra esse risco, envolvendo injeção de comandos do sistema operacional ao se conectar a servidores MCP não confiáveis.
Como servidores MCP atuam como intermediários, um único servidor exposto pode se tornar um ponto de entrada para múltiplos sistemas downstream.
A invocação orientada por agentes complica a detecção
Requisições a servidores MCP geralmente se originam de agentes de IA, não de usuários humanos. As chamadas de ferramentas podem se assemelhar à automação padrão, os argumentos podem ser construídos dinamicamente e a intenção é mais difícil de inferir apenas a partir de logs.
Isso torna o uso indevido mais difícil de distinguir do comportamento esperado, especialmente quando agentes operam em múltiplas aplicações ou fluxos de trabalho.
A qualidade de implementação varia amplamente
Um problema transversal é que servidores MCP e ferramentas relacionadas variam significativamente em aplicação de autenticação, gerenciamento de segredos, isolamento de ferramentas e validação de entradas. Essa variação é um fator comum nos modos de falha acima e frequentemente resulta em uma postura de segurança desigual entre ambientes, mesmo quando as equipes acreditam que suas implantações de MCP são consistentes.
Operacionalizando a Descoberta de MCP
Problemas de exposição externa raramente são causados por um único controle ausente. Geralmente são resultado de ativos que as equipes não sabiam que eram acessíveis. Em uma pesquisa global com tomadores de decisão de TI e segurança, apenas 49% afirmaram ter visibilidade completa dos ativos pertencentes à organização.
Servidores MCP e outros serviços de integração relacionados à IA não estão isentos dessa lacuna de visibilidade. Quando implantados rapidamente para suportar fluxos de trabalho em produção, eles frequentemente ficam fora dos inventários de ativos e do monitoramento, mesmo sendo acessíveis e capazes de atuar em sistemas reais.
Ao descobrir servidores MCP externamente acessíveis, a CyCognito traz essa classe emergente de infraestrutura relacionada à IA para o mesmo inventário e fluxos de trabalho usados para outros serviços externamente acessíveis. A acessibilidade do MCP passa a ser visível, revisável e monitorável ao longo do tempo, para que derivações e exposições não planejadas não fiquem fora dos processos normais de gerenciamento de exposição externa.
Isso reforça um princípio central simples: se algo é externamente acessível, não deve ser invisível.
Próximos Passos
À medida que as organizações adotam sistemas de IA, elas também adotam as camadas de integração que tornam esses sistemas utilizáveis em produção. Essas camadas estão cada vez mais acessíveis externamente e nem sempre se encaixam claramente nas categorias de ativos ou sistemas de monitoramento existentes.
A descoberta de servidores MCP é uma de várias capacidades de descoberta relacionadas à IA que a CyCognito está desenvolvendo para fechar essa lacuna.
Na sequência, planejamos expandir a visibilidade sobre serviços relacionados à IA, adicionar um contexto de exposição mais rico e incorporar essas descobertas aos mesmos fluxos de priorização e remediação usados em toda a superfície de ataque externa. Também estamos explorando abordagens específicas de testes e avaliação de risco para esses ativos, além das verificações padrão aplicadas a todos os tipos de ativos.