Ferramenta oficial do Git da Anthropic revela três vulnerabilidades críticas, o assistente de IA torna-se na ponte de entrada para hackers

A mcp-server-git mantida pela Anthropic apresenta três vulnerabilidades de segurança graves, que podem ser exploradas por meio de injeção de prompts, permitindo a realização de uma cadeia de ataque completa desde o acesso a arquivos arbitrários até a execução remota de código. Essas vulnerabilidades foram corrigidas no final de 2025, mas nos lembram de que a proteção de segurança na cadeia de ferramentas de IA ainda está longe de ser perfeita.

Detalhes técnicos das três principais vulnerabilidades de alto risco

Os três vulnerabilidades divulgadas pelo pesquisador de segurança Cyata são:

Integridade da cadeia de ataque

O aspecto mais perigoso dessas três vulnerabilidades é que podem ser combinadas para exploração. Como o mcp-server-git não realiza validação de caminho no parâmetro repo_path, um atacante pode criar repositórios Git em qualquer diretório do sistema. Combinando isso com a vulnerabilidade de injeção de parâmetros do git_diff, o atacante pode configurar filtros de limpeza no arquivo .git/config e executar comandos Shell sem necessidade de permissões de execução.

Nova ameaça de injeção de prompts

A singularidade dessas vulnerabilidades reside na possibilidade de serem exploradas por meio de injeção de prompts. O atacante não precisa acessar diretamente o sistema da vítima; basta controlar o conteúdo malicioso que o assistente de IA lê para acionar a vulnerabilidade. Especificamente, o atacante pode usar arquivos README maliciosos ou páginas web comprometidas para fazer com que assistentes de IA como Claude executem comandos maliciosos inadvertidamente durante o processamento.

Ao combinar essas vulnerabilidades com o servidor MCP do sistema de arquivos, o atacante pode executar código arbitrário, excluir arquivos do sistema ou ler o conteúdo de qualquer arquivo para o contexto do grande modelo de linguagem, causando vazamentos de dados graves e destruição do sistema.

Solução de correção da Anthropic

Após receber o número CVE em 17 de dezembro de 2025, a Anthropic agiu rapidamente, lançando um patch de correção em 18 de dezembro do mesmo ano. As medidas oficiais incluem:

• Remoção da ferramenta git_init problemática
• Reforço do mecanismo de validação de caminhos
• Melhoria na lógica de validação de parâmetros

De acordo com as últimas informações, os usuários devem atualizar o mcp-server-git para a versão 2025.12.18 ou superior para garantir proteção de segurança.

Lições sobre a segurança da cadeia de ferramentas de IA

Este incidente de vulnerabilidade revela um problema mais amplo: à medida que a IA é integrada em cada vez mais ferramentas de desenvolvimento, a complexidade da proteção de segurança aumenta significativamente. O MCP (Model Context Protocol), como uma ponte que conecta IA e ferramentas do sistema, tem sua segurança diretamente relacionada à segurança de todo o sistema.

Do ponto de vista técnico, quando assistentes de IA podem invocar ferramentas do sistema, cada vulnerabilidade dessas ferramentas pode ser amplificada. A injeção de prompts, como vetor de ataque, torna as tradicionais controles de acesso e gerenciamento de permissões praticamente inúteis.

Resumo

As três vulnerabilidades de alto risco corrigidas pela Anthropic nesta ocasião nos lembram de que a segurança na cadeia de ferramentas de IA deve ser considerada desde a fase de projeto. Embora a resposta rápida e a implementação de correções tenham sido positivas, é ainda mais importante que toda a indústria estabeleça mecanismos de auditoria de segurança mais robustos. Para os desenvolvedores que utilizam o mcp-server-git, atualizar imediatamente para a versão mais recente tornou-se uma ação essencial. Isso também indica que, à medida que a IA é profundamente aplicada nas ferramentas de desenvolvimento, o impacto das vulnerabilidades de segurança será cada vez maior, exigindo mais atenção e investimento.