Como construir um modelo Zero Trust num mundo de LLM

O MCP funciona como uma interface universal que permite aos LLM ligarem-se facilmente a sistemas externos sem compreenderem o seu conteúdo. Em software e engineering, acelera a automação de tarefas e facilita workflows diários como o onboarding de utilizadores, o resumo de emails ou o agendamento de eventos.

Embora o MCP ofereça vantagens ao nível da integração, também aumenta a superfície de ataque ao delegar confiança em produtos, logs e servers. Isto permite que os cibercriminosos explorem a sua flexibilidade e credulidade, levando os produtos MCP a aceitarem informação sem verificar a sua legitimidade.

Neste processo, os adversários já não precisam de comprometer o próprio modelo. Em vez disso, exploram as camadas de construção de contexto acumuladas pelo MCP: metadata, descrições e o response flow das ferramentas que os LLM assumem como “verdades” fidedignas.

Exploits que estão a ganhar relevância 

Tendo em conta estas estratégias, observamos a consolidação de certos tipos de ataques que os frameworks de segurança tradicionais não conseguem mitigar de forma direta.

• Injeção de startup prompt através de definições de ferramentas: Os MCP servers fornecem aos LLM ferramentas com descrições inseridas no startup prompt, permitindo que atacantes manipulem os modelos ao registar tools que exfiltram ou alteram sensitive data.
• Sombreamento de ferramentas entre servidores: Quando vários servidores MCP partilham contexto e não estão devidamente isolados, uma ferramenta maliciosa pode propagar instruções escondidas e comprometer todo o ambiente.
• Troca maliciosa de ferramentas (rug pull): Os adversários podem modificar registries ou mecanismos de atualização para substituir ferramentas legítimas por versões maliciosas, conseguindo roubar chaves API ou executar ações prejudiciais sem gerar alertas.
• Injeção de códigos ANSI: Os atacantes utilizam códigos ANSI para ocultar instruções maliciosas nas descrições de ferramentas do MCP, tornando- as invisíveis para o utilizador, mas interpretáveis pelos modelos de IA.

Passos práticos para uma defesa Zero Trust

Uma defesa eficaz deve aplicar princípios de Zero Trust às ferramentas, verificação criptográfica, monitorização de comportamento e isolamento rigoroso dos servidores MCP. Eis cinco formas de o fazer:

• Procedência do registo: apresenta apenas ferramentas provenientes de registos verificados que exijam assinatura digital, garantindo a autenticidade e evitando manipulações.
• Barreiras de proteção: aplica filtros e classificadores automáticos para detetar e remover possíveis prompt injections nos fluxos de entrada e saída.
• Isolamento em camadas: separa os metadados das ferramentas por servidor, carregando apenas os necessários e renovando o contexto para excluir descrições irrelevantes, especialmente em ferramentas sensíveis. Utiliza servidores distintos para áreas que exijam proteção adicional.
• Restrição de permissões: limita as ferramentas aos privilégios mínimos necessários, de acordo com uma abordagem Zero Trust, regista e revê periodicamente as permissões e remove as que já não são necessárias.
• Avaliação de risco: atribui uma classificação de risco a cada servidor MCP para priorizar a atenção sobre aqueles com maior potencial de impacto.

O primeiro passo para assegurar integrações MCP seguras passa por compreender o papel dos assistentes de IA no ecossistema digital. Um MCP executa todas as instruções que são injetadas no seu contexto. A adoção de uma estratégia de defesa multicamada baseada em Zero Trust — que inclua auditoria de origem, barreiras de proteção, isolamento, permissões mínimas e análise de risco — permite que a integração de LLM gere valor para a organização, em vez de introduzir novos vetores de risco.

Conteúdo co-produzido pela MediaNext e pela Netskope