Uma ferramenta de protocolo de contexto de modelo (MCP) pode alegar executar uma tarefa benigna, como “validar endereços de e-mail”, mas se a ferramenta estiver comprometida, ela pode ser redirecionada para cumprir segundas intenções, como exfiltrar todo o seu catálogo de endereços para um servidor externo. Os scanners de segurança tradicionais podem sinalizar chamadas de rede suspeitas ou funções perigosas, e a detecção baseada em padrões pode identificar ameaças conhecidas, mas nenhuma das capacidades pode conectar uma incompatibilidade semântica e comportamental entre o que uma ferramenta reivindicações fazer (validação de e-mail) e o que realmente faz (exfiltrar dados).
Apresentando a verificação comportamental de código: onde a análise de segurança encontra a IA
Colmatar esta lacuna requer repensar a forma como a análise de segurança funciona. Durante anos, as ferramentas de testes estáticos de segurança de aplicativos (SAST) se destacaram na localização de padrões, no rastreamento de fluxos de dados e na identificação de assinaturas de ameaças conhecidas, mas sempre tiveram dificuldades com o contexto. Responder a perguntas como “Uma chamada de rede é maliciosa ou esperada?” e “O acesso a este arquivo é uma ameaça ou um recurso?” requer compreensão semântica que os sistemas baseados em regras não podem fornecer. Embora os grandes modelos de linguagem (LLMs) tragam capacidades de raciocínio poderosas, falta-lhes a precisão da análise formal de programas. Isso significa que eles podem perder caminhos sutis de fluxo de dados, lutar com estruturas de controle complexas e alucinar conexões que não existem no código.
A solução está em combinar ambos: recursos rigorosos de análise estática que fornecem evidências precisas aos LLMs para análise semântica. Ele oferece a precisão para rastrear caminhos exatos de dados, bem como o julgamento contextual para avaliar se esses caminhos representam comportamento legítimo ou ameaças ocultas. Implementamos isso em nosso recurso de varredura de código comportamental em nosso código aberto Scanner MCP.
Análise estática profunda armada com uma camada de alinhamento
Nossa capacidade de digitalização de código comportamental é baseada em análises de programas rigorosas e com reconhecimento de linguagem. Analisamos o código do servidor MCP em seus componentes estruturais e usamos análise de fluxo de dados interprocedural para rastrear como os dados se movem entre funções e módulos, incluindo código utilitário, onde o comportamento malicioso geralmente se esconde. Ao tratar todos os parâmetros da ferramenta como não confiáveis, mapeamos seus fluxos de avanço e reverso para detectar quando entradas aparentemente benignas alcançam operações sensíveis, como chamadas de rede externa. O rastreamento de dependência entre arquivos cria gráficos de chamadas completos para descobrir cadeias de comportamento multicamadas, revelando caminhos ocultos ou indiretos que podem permitir atividades maliciosas.
Ao contrário do SAST tradicional, nossa abordagem usa IA para comparar a intenção documentada de uma ferramenta com seu comportamento real. Depois de extrair sinais comportamentais detalhados do código, o modelo procura incompatibilidades e sinaliza casos em que as operações (como chamadas de rede ou fluxos de dados) não estão alinhadas com o que a documentação afirma. Em vez de simplesmente identificar funções perigosas, pergunta se a implementação corresponde ao objectivo declarado, se existem comportamentos não documentados, se os fluxos de dados não são divulgados e se as acções relevantes para a segurança estão a ser encobertas. Ao combinar análise estática rigorosa com raciocínio de IA, podemos rastrear caminhos de dados exatos e avaliar se esses caminhos violam o propósito declarado da ferramenta.
Reforce seu arsenal defensivo: o que a varredura comportamental detecta
Nossa ferramenta MCP Scanner aprimorada pode capturar diversas categorias de ameaças que as ferramentas tradicionais não percebem:
- Operações ocultas: chamadas de rede, gravações de arquivos ou comandos de sistema não documentados que contradizem a finalidade declarada de uma ferramenta. Por exemplo, uma ferramenta que afirma ajudar no envio de e-mails que secretamente enviam todos os seus e-mails para um servidor externo. Esse compromisso realmente aconteceu, e nossa varredura de código comportamental teria sinalizado isso.
- Exfiltração de dados: ferramentas que executam sua função declarada corretamente enquanto copiam silenciosamente dados confidenciais para endpoints externos. Enquanto o usuário recebe o resultado esperado; um invasor também obtém uma cópia desses dados.
- Ataques de injeção: manipulação insegura da entrada do usuário que permite injeção de comando, execução de código ou explorações semelhantes. Isso inclui ferramentas que passam parâmetros diretamente para comandos shell ou avaliadores sem a devida higienização.
- Abuso de privilégio: ferramentas que executam ações além do escopo declarado, acessando recursos confidenciais, alterando configurações do sistema ou executando operações privilegiadas sem divulgação ou autorização.
- Alegações de segurança enganosas: Ferramentas que afirmam que são “seguras”, “higienizadas” ou “validadas”, embora não possuam as proteções e criem uma falsa garantia perigosa.
- Decepção transfronteiriça: ferramentas que parecem limpas, mas delegam funções auxiliares onde o comportamento malicioso realmente ocorre. Sem análise interprocessual, estas questões escapariam à revisão superficial.
Por que isso é importante para a IA empresarial: o cenário de ameaças está cada vez maior
Se você estiver implantando (ou planejando implantar) agentes de IA em produção, considere o cenário de ameaças para informar sua estratégia de segurança e implantações de agentes:
As decisões de confiança são automatizadas: Quando um agente seleciona uma ferramenta com base em sua descrição, essa é uma decisão de confiança tomada pelo software, não por um ser humano. Se as descrições forem enganosas ou maliciosas, os agentes poderão ser manipulados.
Escalas de raio de explosão com adoção: Uma ferramenta MCP comprometida não afeta uma única tarefa, mas sim todas as chamadas de agente que a utilizam. Dependendo da ferramenta, isso tem o potencial de impactar os sistemas de toda a organização.
O risco da cadeia de abastecimento está a agravar-se: Os registros públicos de MCP continuam a se expandir e as equipes de desenvolvimento adotarão ferramentas com a mesma facilidade com que adotam pacotes, muitas vezes sem auditar cada implementação.
Os processos de revisão manual não detectam violações semânticas: A revisão de código detecta problemas óbvios, mas é difícil distinguir entre o uso legítimo e malicioso de recursos em escala.
Integração e implantação
Projetamos a verificação comportamental de código para integrar-se perfeitamente aos fluxos de trabalho de segurança existentes. Esteja você avaliando uma única ferramenta ou verificando um diretório inteiro de servidores MCP, o processo é simples e os insights são acionáveis.
Pipelines de CI/CD: execute verificações como parte do pipeline de compilação. Os níveis de gravidade apoiam decisões de controle e os resultados estruturados permitem a integração programática.
Vários formatos de saída: escolha resumos concisos para CI/CD, relatórios detalhados para análises de segurança ou JSON estruturado para consumo programático.
Cobertura de caixa preta e caixa branca: quando o código-fonte não está disponível, os usuários podem contar com mecanismos existentes, como YARA, análise baseada em LLM ou varredura de API. Quando o código-fonte está disponível, a varredura comportamental fornece análises mais profundas e baseadas em evidências.
Suporte flexível ao ecossistema de IA: Compatível com as principais plataformas LLM para que você possa implantar de acordo com seus requisitos de segurança e conformidade
Parte do compromisso da Cisco com a segurança de IA
A varredura de código comportamental fortalece a abordagem abrangente da Cisco à segurança de IA. Como parte do kit de ferramentas do MCP Scanner, ele complementa os recursos existentes e, ao mesmo tempo, aborda ameaças semânticas que ficam ocultas à vista de todos. A segurança dos agentes de IA requer o suporte de ferramentas desenvolvidas especificamente para os desafios únicos dos sistemas de agentes.
Quando combinadas com o Cisco AI Defense, as organizações obtêm proteção completa para seus aplicativos de IA: desde validação da cadeia de suprimentos e red teaming algorítmico até proteções de tempo de execução e monitoramento contínuo. A varredura de código comportamental adiciona uma camada crítica de verificação pré-implantação que detecta ameaças antes que elas cheguem à produção.
A varredura de código comportamental está disponível hoje em Scanner MCPo kit de ferramentas de código aberto da Cisco para proteger servidores MCP, oferecendo às organizações uma forma prática de validar as ferramentas das quais seus agentes dependem.
Para obter mais informações sobre a abordagem abrangente de segurança de IA da Cisco, incluindo proteção em tempo de execução e red teaming algorítmico, visite cisco.com/ai-defense.