Ferramenta oficial do Git da Anthropic revela três grandes vulnerabilidades, injeção de prompts pode levar à execução remota de código

A ferramenta oficial mcp-server-git mantida pela Anthropic foi revelada como tendo três vulnerabilidades de segurança graves, que podem ser exploradas remotamente através de injeção de prompts, sem que o atacante precise acessar diretamente o sistema da vítima. Basta um README malicioso ou uma página web comprometida para ativar a exploração. Ainda mais perigoso, se essas vulnerabilidades forem combinadas com o servidor MCP do sistema de arquivos, o atacante pode executar qualquer código arbitrariamente. A Anthropic atribuiu um número CVE em 17/12/2025 e lançou patches de correção, recomendando aos usuários que atualizem imediatamente.

Detalhes técnicos das três vulnerabilidades

Princípio de funcionamento do ataque

De acordo com a análise da organização de segurança Cyata, o núcleo dessas vulnerabilidades reside na insuficiente validação dos parâmetros de entrada pelo mcp-server-git. Especificamente:

• Falha na validação de caminho: o parâmetro repo_path não realiza validação adequada, permitindo que o atacante crie repositórios Git em qualquer diretório do sistema, burlando as fronteiras de segurança existentes
• Abuso de arquivos de configuração: o atacante pode configurar filtros de limpeza (clean filter) no arquivo .git/config, executando comandos Shell arbitrários sem necessidade de permissões de execução
• Risco de injeção de parâmetros: o manipulação inadequada de comandos como git_diff abre portas para ataques de injeção

Nova ameaça de injeção de prompts

O diferencial dessas vulnerabilidades está na sua abordagem furtiva. O atacante não precisa invadir diretamente o infraestrutura, podendo explorar por meio de:

• Inserção de comandos especiais em README maliciosos
• Ataques via conteúdo de páginas web comprometidas
• Exploração das características de processamento de entrada de grandes modelos de linguagem

Quando o conteúdo é processado por usuários ou sistemas de IA, as instruções maliciosas podem ser executadas, acionando a cadeia de vulnerabilidades.

Riscos combinados e impacto

A vulnerabilidade isolada tem impacto limitado, mas ao combinar esses três problemas com o servidor MCP do sistema de arquivos, o atacante pode:

• Executar qualquer código arbitrário
• Excluir arquivos do sistema
• Ler conteúdos de arquivos arbitrários para o contexto do grande modelo de linguagem

Isso pode conceder controle total do sistema ou roubar dados sensíveis. Para empresas e indivíduos que utilizam ferramentas da Anthropic para desenvolvimento ou implantação, representa uma ameaça de segurança grave.

Soluções e recomendações

A Anthropic atribuiu o CVE e lançou patches em 17/12/2025. As recomendações oficiais incluem:

• Atualizar imediatamente o mcp-server-git para a versão 2025.12.18 ou superior
• Verificar a existência de configurações suspeitas no arquivo .git/config
• Auditar os repositórios Git recentes e logs de operações de arquivos
• Para sistemas críticos, realizar testes completos antes de atualizar

Resumo

Este incidente evidencia os desafios de segurança no rápido desenvolvimento de ferramentas de IA. Como líder no setor, a Anthropic nos lembra que mesmo projetos mantidos por equipes especializadas requerem auditorias contínuas. A injeção de prompts, como uma nova forma de ataque, está se tornando uma ameaça comum no ecossistema de IA, demandando atenção de toda a indústria. Para desenvolvedores, atualizar prontamente, realizar auditorias periódicas e manter a consciência de segurança são essenciais.