Model Context Protocol virou o encanamento padrão para conectar LLMs a ferramentas e dados. Claude Desktop usa, Claude Code usa, Cursor e Windsurf usam, e uma longa cauda de frameworks de agente construiu em cima. A OX Security soltou uma divulgação neste fim de semana argumentando que a implementação MCP de referência tem uma falha de design em como o transporte STDIO inicializa os servidores, e o raio de explosão é incomumente grande. Seus pesquisadores (Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok, Roni Bar) catalogaram onze CVEs em bibliotecas downstream, mais o problema arquitetural raiz no SDK de referência da Anthropic para Python, TypeScript, Java, e Rust.
O mecanismo é direto. Quando um cliente MCP monta um servidor com transporte STDIO, o código de inicialização invoca um comando OS. Se o comando dá limpo um handle STDIO, o cliente prossegue. Se falha, o cliente recebe um erro, mas o comando rodou igual. A OX Security distingue quatro categorias de ataque sobre essa primitiva: injeção de comando não autenticada via transporte STDIO, injeção de comando que ignora o hardening existente em configs STDIO diretas, injeção de prompt zero-click que edita arquivos de config MCP para apontar para comandos controlados pelo atacante, e ataques de marketplace onde configs STDIO escondidas são disparadas via requests de rede. O impacto downstream cobre LiteLLM, LangChain, LangFlow, Flowise, LettaAI, GPT Researcher, Agent Zero, Fay Framework, Bisheng, Langchain-Chatchat, Jaaz, Upsonic, Windsurf, e DocsGPT. A contagem conservadora é sete mil servidores públicos e mais de cento e cinquenta milhões de downloads combinados.
A metade de governança dessa história é mais pesada que a metade técnica. A Anthropic se recusou a mudar o protocolo, chamando o comportamento de "esperado". Essa resposta transfere a responsabilidade de segurança para cada implementador, que é a queixa central da OX Security — "transferir responsabilidade para implementadores não transfere o risco; só obscurece quem o criou". Algumas bibliotecas downstream já patcharam (LiteLLM, Bisheng, DocsGPT entre elas). Muitas não. Os pesquisadores documentaram que exploração bem-sucedida dá acesso direto a dados sensíveis, bancos de dados internos, chaves API, e históricos de chat. O precedente estabelecido aqui é que o protocolo de referência vai enviar defaults inseguros e a spec não será ajustada quando pesquisadores demonstram exploração em escala.
Se você envia ou consome servidores MCP, três coisas valem fazer esta semana. Um, audite suas configs MCP e identifique qualquer coisa usando transporte STDIO de fontes marketplace ou terceiros; trate essas configs como input não confiável. Dois, verifique se as bibliotecas downstream das quais você depende patcharam. Usuários de LangChain, LiteLLM, Flowise, Windsurf devem verificar números de versão contra avisos de CVE. Três, não assuma que os defaults do SDK de referência são seguros só porque são defaults. O sinal de governança é claro: a Anthropic está tratando o protocolo como uma camada base cuja segurança é problema do implementador. Se você é um implementador downstream, construa seu próprio hardening; o upstream não vai.