Mapeamento de Exposição de CVE do Servidor MCP e API Pública Lançada
Análise de Segurança de Servidores MCP e API Pública
Pesquisadores de segurança analisaram milhares de servidores MCP (Model Context Protocol) para mapear suas árvores de dependências contra CVEs conhecidos e avisos de segurança. Quando você instala um servidor MCP, está herdando toda a sua árvore de dependências, que pode conter vulnerabilidades.
Principais Descobertas da Análise
- Uma porcentagem significativa de servidores carrega vulnerabilidades conhecidas
- Alguns servidores acumulam dezenas ou 100+ CVEs através de dependências
- A gravidade varia significativamente - alta contagem de CVEs não significa necessariamente alto risco, e baixa contagem não garante segurança
- A proliferação de dependências é comum entre servidores MCP
- Uma grande parte desses servidores ainda aparece nos principais diretórios MCP
Detalhes da API Pública
Os pesquisadores construíram uma API pública que não requer chave de API: https://api.mistaike.ai/api/v1/public/cve-index
Com esta API, você pode:
- Pesquisar por nome do repositório ou nome do servidor
- Filtrar resultados por gravidade da vulnerabilidade
- Ordenar por contagem de CVEs ou recentidade das vulnerabilidades
Advertências Importantes
A presença de um CVE não significa automaticamente que ele é explorável. Algumas vulnerabilidades existem em caminhos de código não utilizados, enquanto outras podem já estar mitigadas. Esta ferramenta fornece visibilidade sobre o risco da cadeia de suprimentos, em vez de rotular projetos como inseguros.
Próxima Fase: Análise de Comportamento em Tempo de Execução
Os pesquisadores agora estão analisando o que os servidores MCP realmente fazem em tempo de execução, incluindo chamadas de rede e dependências externas. Em um subconjunto de servidores analisados até agora (~5%), eles identificaram um pequeno número de comportamentos que podem ter implicações de privacidade, incluindo aparente uso de caracteres Unicode invisíveis consistentes com marcação d'água de resposta. Essas observações ainda estão sob revisão, e a equipe está trabalhando para separar verdadeiros positivos de artefatos de análise antes de engajar diretamente com os projetos.
📖 Read the full source: r/ClaudeAI
👀 See Also
Analisador de Habilidades Agora Disponível no ClawHub com Instalação por Um Comando
O scanner de segurança OpenClaw Skill Analyzer já está disponível no ClawHub com instalação por um único comando. A ferramenta analisa pastas de habilidades em busca de padrões maliciosos como injeção de prompt e roubo de credenciais, e inclui suporte a sandbox Docker para execução segura.
OpenClaw's External Content Wrapper for Prompt Injection Defense
O OpenClaw usa um wrapper de conteúdo externo que automaticamente marca os resultados de buscas na web, respostas de API e conteúdos similares com avisos de que são não confiáveis, preparando o LLM para ser cético e mais propenso a recusar instruções maliciosas.
Por que Ferramentas Internas de RAG e Chat com Documentos Falham em Auditorias de Segurança
A comunidade discute bloqueadores reais de segurança e conformidade que impedem as ferramentas RAG de chegarem à produção.
Claude Cowork 'Permitir Todas as Ações do Navegador': Preocupações de Segurança e Correções Propostas
Um usuário do Reddit destaca que o botão 'Permitir tudo' do Claude Cowork concede acesso permanente e irrestrito ao navegador em todas as sessões futuras, sem visibilidade, limites ou expiração, criando riscos de segurança. A publicação propõe permissões com escopo de sessão ou de habilidade como padrões mais seguros.