A Cloudflare publicou uma arquitetura de referência para MCP em produção essa semana, e o enquadramento aterrissa limpo em cima da história da semana sobre segurança de MCP. A tese: MCP é transporte e interoperabilidade, não governança. Um plano de controle tem que se sentar em cima. Essa é uma resposta direta à classe de problemas que a OX Security divulgou semana passada quando trouxe à tona onze CVEs no transporte STDIO do MCP e a Anthropic se recusou a mudar os defaults inseguros do SDK de referência. Se o protocolo não vai se auto-governar, algo mais precisa.
Quatro componentes formam a pilha. Cloudflare Access cuida da autenticação com SSO, MFA, device posture, e sinais de localização — primitivas zero-trust empresariais padrão aplicadas a requests MCP. Os MCP Server Portals dão aos usuários uma interface unificada de descoberta e acesso através dos servidores aos quais estão autorizados, em vez do setup ad-hoc de config local que é o default atual. O AI Gateway se senta na camada de chamada ao modelo, roteando requests através de provedores e impondo limites de uso e monitoramento de tokens por usuário. O Code Mode é a peça mais interessante: colapsa interfaces de ferramentas em pontos de entrada dinâmicos, o que a Cloudflare diz pode reduzir uso de tokens até 99,9%. Esse número vale verificação independente, mas a reivindicação é concreta.
O modelo de ameaça que a Cloudflare nomeia é o que os builders já sentem: injeção de prompt, ataques de cadeia de suprimentos, servidores expostos ou mal configurados, execução de código arbitrário, e exfiltração de dados através de integrações MCP. A posição afiada deles é que servidores MCP implantados localmente são uma "responsabilidade de segurança significativa." Esse é um tiro direto no padrão de deployment default para Claude Desktop, Claude Code, Cursor, e a maioria das integrações cliente atuais, que rodam servidores MCP como processos filho locais nas máquinas dos usuários. A resposta da Cloudflare é deployment remoto na plataforma de desenvolvedor deles com gerenciamento centralizado de time, exposição fina de ferramentas, e aplicação de política DLP. Se as empresas concordam que MCP local é inaceitável, ou continuam permitindo por razões de flexibilidade, vai moldar qual das duas arquiteturas vence.
Se você está avaliando MCP para produção em escala empresarial, duas ações concretas desse release. Um, assuma que "rode o servidor MCP localmente" não é uma postura de longo prazo para cargas de trabalho reguladas. A combinação dos achados STDIO da OX Security, a decisão da Anthropic de não patchar o SDK de referência, e o enquadramento da Cloudflare de servidores locais como responsabilidade de segurança coloca o deployment MCP local em aviso. Planeje a migração para MCP proxyado, centralmente governado, independente de qual fornecedor você escolhe. Dois, a reivindicação de 99,9% de redução de tokens do Code Mode vale medir contra sua própria carga de trabalho antes de tomar ao pé da letra, mas se segura mesmo direcionalmente, economia de tokens vira uma variável séria no trade-off governança-vs-flexibilidade. Controle de custo e segurança agora apontam na mesma direção para MCP empresarial.