Pesquisadores em segurança destaparam três falhas críticas em mcp-server-git, a implementação oficial do servidor Git para o Model Context Protocol (MCP) mantida dentro do ecossistema de Anthropic. De acordo com o relatório da assinatura Cyata, estas vulnerabilidades permitem de ler e apagar arquivos arbitrários até, em certas combinações, executar código no sistema afetado — e o mais preocupante: podem ser ativados através de prompt injection Ou seja, manipulando o que um assistente de IA chega a “leer”. Você pode consultar a explicação completa dos pesquisadores em seu comunicado técnico em no blog Cyata.
O mcp-server-git é uma biblioteca em Python que oferece ferramentas integradas para que modelos de linguagem interactuem com repositórios Git: ler, procurar e executar operações sobre código de forma programática. É pensada como referência dentro do conjunto de servidores MCP e, portanto, costuma servir como modelo a seguir por desenvolvedores que implementam agentes que manejam repositórios. A própria colecção de servidores está disponível em o repositório MCP.
As três vulnerabilidades receberam identificadores CVE e já têm correções publicadas nos ramos do projeto. O primeiro erro, registrado como CVE-2025-68143, permitia uma travessia de rotas (path traversal) durante a criação de repositórios porque a ferramenta git_init aceitava rotas de sistema sem validação adequada; a correção chegou na versão 2025.9.25. O segundo, CVE-2025-68144, consiste na injeção de argumentos quando funções como git_diff e git_checkout passavam parâmetros controlados pelo usuário diretamente à CLI de Git; isto foi resolvido em 2025.12.18. O terceiro, CVE-2025-68145, é outra variante de path traversal ligada ao manejo do flag --repository e também foi resolvida na mesma série de adesivos.
O alcance destas falhas não é meramente teórico. Os pesquisadores mostram como, se um atacante consegue influenciar o texto que uma IA processa, por exemplo com um README malicioso, a descrição de um issue ou uma página comprometida, pode encadear as vulnerabilidades com o servidor de arquivos do MCP para manipular o conteúdo de um repositório. No seu cenário, o adversário converte uma pasta qualquer num repositório Git, escreve uma configuração .git/config com um filtro “clean” malicioso, cria uma .gitattributes que aplique esse filtro a certos ficheiros, introduz um programa com a carga útil e um ficheiro que active o filtro, e eventualmente executa o git_ add: ao fazê-lo, o filtro “clean” é executado e com ele o código do atacante. A técnica apoia-se em características legítimas de Git, como os filtros definidos em .gitattributes, o que complica a sua detecção se não houver medidas de segurança adicionais.
O repositório do componente de sistema de ficheiros usado na demonstração também é público e faz parte do conjunto de servidores MCP: Filesystem MCP server. Essa integração entre capacidades para operar sobre o sistema de arquivos e a facilidade de orquestrar ações por prompts é precisamente o que torna especialmente delicada a vulnerabilidade: o vetor de ataque pode ser remoto e não requer acesso prévio ao host vulnerável.
Em resposta aos testes, os mantenedores tomaram ações concretas: entre outras medidas, a ferramenta git_init foi eliminada e reforçada as validações para impedir primitivas básicas de traversal. A recomendação para qualquer usuário da livraria é atualizar quanto antes às versões contendo as correções e rever a implantação em que agentes baseados em MCP tenham permissões de escrita ou capacidade de executar comandos do sistema.
Além do adesivo, as observações de Cyata são uma chamada de atenção para todo o ecossistema. Como Shahar Tal, co-fundador e CEO da empresa referiu, que a implementação de referência presente falhas deste tipo sugere que as bibliotecas de referência e os padrões de integração comuns entre LLMs e recursos do sistema devem ser mais abrangentes. O risco não é apenas que uma referência contenha uma falha, mas que muitas implementações derivadas possam arrastá-lo sem responsabilidade ou adesivos adequados.
Para desenvolvedores e responsáveis pela segurança, a lição prática é clara: as interfaces que expõem operações sobre o sistema de arquivos ou que invocam ferramentas nativas precisam de validação estrita de entradas, políticas de privilégios mínimos e isolamento de execução. Em ambientes onde modelos de linguagem processam conteúdo externo ou interagem com recursos do sistema, convém acrescentar barreiras adicionais — por exemplo, contentores com permissões limitadas, análises prévias de prompts potencialmente perigosos e revisões de código automatizadas — para mitigar o risco de uma cadeia de comandos legítima se tornar exploração.
Se você quiser aprofundar as correções e os avisos oficiais, você pode consultar as páginas de segurança publicadas no repositório: CVE-2025-68143, CVE-2025-68144 e CVE-2025-68145. Para pesquisa técnica e exemplos de exploração, a análise de Cyata está disponível em seu blog em cyata.ai, e a implementação de referência do MCP pode ser revista em GitHub. Manter dependências atualizadas e auditar integrações entre agentes IA e recursos do sistema é, hoje mais do que nunca, uma prática imprescindível.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...