A NSA publicou orientações de segurança MCP: 6 verificações para o seu servidor

Em maio de 2026, o Centro de Segurança de Inteligência Artificial da NSA publicou um relatório de segurança cibernética de 17 páginas. Folha de informações sobre segurança do Model Context Protocol (identificador U/OO/6030316-26, versão 1.0). A versão resumida: os sistemas de agente construídos no MCP apresentam riscos que a segurança comum da API ignora, e a planilha nomeia seis mitigações para fechá-los.

O problema difícil é a confiança. O resultado de uma ferramenta não são dados passivos como uma linha de banco de dados; o modelo lê e age sobre ele. Uma saída envenenada pode direcionar o agente e uma solicitação mal roteada pode cruzar um limite de confiança que uma chamada de API normal nunca atinge. As seis mitigações da planilha são filtragem proxies de saída, prevenção contra perda de dados, sandboxing, integridade de mensagens, filtragem de saída e varreduras MCP locais. Veja como transformar cinco deles em verificações de API que você pode realizar esta semana. O sexto, sandboxing, é a infraestrutura que você administra em torno do resto.

1. Filtragem de saída: verifica os resultados da ferramenta antes que o modelo os leia

Esta é a verificação de maior valor. Cada resultado da ferramenta flui para o modelo e influencia seu próximo ação, então um segredo vazado ou uma instrução injetada em um resultado é uma ameaça ativa, não um log entrada. Verifique cada saída em busca de PII e credenciais antes de chegar ao modelo:

Coloque a verificação no caminho do resultado e feche a falha: se a saída contiver um SSN, um número de cartão, ou uma chave de API, edite-a antes que o modelo veja o valor bruto. Um filtro drop-in se parece com isto:

2. Integridade da mensagem: verifique os tokens que um servidor apresenta

A planilha demonstra confiança implícita entre um agente e os servidores que ele chama. Se um servidor entregar seu agente um token assinado, decodifique-o e verifique o emissor e a validade antes de confiar nas reivindicações. O decodificador botoi JWT retorna o cabeçalho, a carga útil e o estado de expiração sem que você obtenha um biblioteca criptográfica:

Confirme o iss corresponde ao servidor de autorização que você espera e que expired é falso. Isso combina com a validação do emissor RFC 9207 da especificação 2026 MCP agora requer: decodificar primeiro e, em seguida, impor a correspondência do emissor antes que o token conceda qualquer coisa.

3. Filtragem de proxy de saída: verifique cada URL que uma ferramenta busca

A invocação dinâmica da ferramenta significa que seu agente buscará URLs que você nunca codificou. Execute cada um através de uma verificação de reputação antes que a solicitação saia da sua rede. Trate um veredicto de alto risco como um bloqueio nos caminhos de alta confiança e um aviso em todos os outros lugares:

4. Prevenção contra perda de dados: descubra segredos na saída

A filtragem de saída observa o que retorna de uma ferramenta. O DLP monitora o que seu agente envia. Antes de um chamada de ferramenta envia uma carga útil para um serviço externo, executa o mesmo PII e detector secreto no argumentos. Um agente que cola um registro de cliente em uma consulta de pesquisa na web é uma divulgação; o detector o pega no limite. Reutilize o /v1/pii/detect ligue a partir do passo 1 o caminho da solicitação em vez do caminho da resposta.

5. Varreduras locais de MCP: inventário e verificação de servidores instalados

A planilha recomenda verificar os servidores MCP em execução em um host, porque um desenvolvedor pode instalar um sem revisão. Extraia os metadados do pacote para qualquer servidor publicado pelo npm e verifique sua versão, mantenedores e data de publicação antes de você confiar nele. O endpoint botoi npm retorna isso em um chamada, que você pode incorporar em um trabalho de inventário periódico que sinaliza servidores adicionados desde o último digitalizar.

6. Sandboxing: a camada dentro da qual a API verifica

A mitigação restante é a infraestrutura. Execute o agente sem credenciais de nuvem ambiente, um sistema de arquivos com escopo definido e rede de saída em uma lista de permissões. A sandbox limita o raio da explosão; o cinco verificações de API acima capturam o que tenta cruzar o limite. Nenhum substitui o outro.

A lista de verificação

• Filtrar saídas. Digitalize todos os resultados da ferramenta com /v1/pii/detect e redigir antes que o modelo o leia. Falha fechada.
• Verifique as mensagens. Decodificar tokens apresentados com /v1/jwt/decode e impor o emissor e o vencimento.
• Verifique URLs de saída. Execute cada alvo de busca /v1/phishing/check e bloquear alto risco em caminhos confiáveis.
• Aplicar DLP. Execute o detector secreto sobre os argumentos da ferramenta antes que eles saiam do seu rede.
• Digitalize servidores locais. Faça o inventário dos servidores MCP instalados e verifique os metadados do pacote para qualquer coisa adicionada desde a última verificação.

Exposições de Botoi /v1/pii/detect, /v1/jwt/decode, /v1/phishing/checke cerca de 200 outros endpoints de propósito único por trás de uma API chave com 5 req/min grátis. Conecte-os aos caminhos de solicitação e resposta do seu agente ou conecte o Servidor MCP para Cláudio Codifique e execute as verificações em seu editor. Comece do documentos interativos.