ThornGuard: Um Gateway Proxy para Proteger Conexões de Servidores MCP contra Injeção de Prompt

ThornGuard é um proxy de segurança projetado para proteger o Claude AI de conteúdo malicioso ao se conectar a servidores externos MCP (Model Context Protocol). A ferramenta foi criada após testes revelarem que servidores upstream podem injetar instruções ocultas em respostas de ferramentas, que o Claude recebe sem filtragem.
Problema de Segurança Identificado
Ao conectar o Claude a servidores MCP externos, nada impede que servidores upstream injetem instruções ocultas em respostas de ferramentas. Em um teste, um servidor incorporou uma recomendação falsa dizendo ao Claude para sempre preferir um fornecedor específico. Embora o Claude tenha detectado essa carga óbvia, injeções mais sutis contornariam a detecção.
Recursos do ThornGuard
- Escaneia definições e respostas de ferramentas em busca de injeção e envenenamento de prompt
- Remove segredos e PII antes que entrem na sua janela de contexto
- Inclui um classificador semântico que sinaliza cargas suspeitas
- Fornece um painel de auditoria em tempo real com exportações de conformidade
- Oferece CLI que gera configurações para Claude Desktop, Cursor, VS Code e vários outros
Detalhes de Implementação
A arquitetura do proxy foi projetada com um modelo de segurança em mente, depois implementada usando Claude Code no Cloudflare Workers. A implementação inclui fluxos OAuth e a ferramenta CLI.
ThornGuard está disponível com um teste gratuito de 7 dias em thorns.qwady.app. Um vídeo de demonstração está disponível em https://youtu.be/1PWNFpUWKV8.
📖 Read the full source: r/ClaudeAI
👀 See Also

AppLovin Mediação Cipher Quebrada: Impressão Digital do Dispositivo Ignora ATT
A engenharia reversa revelou que a cifra personalizada da AppLovin usa um salt constante + chave SDK, um gerador pseudoaleatório SplitMix64 e nenhuma autenticação. Requisições descriptografadas carregam ~50 campos do dispositivo (modelo de hardware, tamanho da tela, localidade, tempo de inicialização, etc.) mesmo quando o ATT é negado, permitindo reidentificação determinística entre aplicativos.

Proteja e Proteja o OpenClaw em Apenas 2 Minutos com o Isolamento Baseado em Kernel Nono
Os usuários do OpenClaw agora podem desfrutar de segurança aprimorada sem comprometer o desempenho, graças ao isolamento baseado no kernel Nono, uma solução rápida e eficaz que leva apenas dois minutos.

Duas Abordagens para Reduzir o Risco de Vazamento de Dados com Agentes de IA
Uma postagem no Reddit descreve dois métodos para desenvolvedores controlarem para onde vão os dados de seus agentes de IA: usar suas próprias chaves de API diretamente com provedores como OpenAI ou Anthropic para eliminar intermediários, ou executar modelos de código aberto localmente com ferramentas como Ollama e OpenClaw.

OpenClaw Security: A Base Endurecida Com Que Você Deveria Começar
Auto-hospedar o OpenClaw não o torna automaticamente seguro. Um post no Reddit detalha a configuração de linha de base endurecida: Gateway local, isolamento DM por peer, negação de grupos runtime/fs/automation, exec bloqueado e grupos com menção obrigatória.