As capacidades dos agentes estão superando as práticas de segurança. Com o surgimento de agentes ávidos por permissões como o OpenClaw, os times estão cada vez mais implantando agentes em ambientes que os expõem à tríade letal: acesso a dados privados, exposição a conteúdo não confiável e a capacidade de se comunicar externamente. À medida que as capacidades crescem, a superfície de ataque se expande, expondo os sistemas a riscos como injeção de prompt e envenenamento de ferramentas. Continuamos a ver a análise de fluxo tóxico como a principal técnica para examinar sistemas agênticos e identificar caminhos de dados inseguros e potenciais vetores de ataque. Esses riscos não se limitam mais às integrações MCP; nossos times observaram padrões semelhantes em Agent Skills, onde um ator malicioso pode empacotar uma skill aparentemente útil que incorpora instruções ocultas para exfiltrar dados sensíveis. Recomendamos fortemente que os times que trabalham com agentes realizem a análise de fluxo tóxico e que usem ferramentas como o Agent Scan para identificar caminhos de dados inseguros antes que eles sejam explorados.
A piada agora familiar de que o S em MCP significa “segurança” esconde um problema muito real. Quando os agentes se comunicam uns com os outros — por meio da invocação de ferramentas ou chamadas de API — eles podem rapidamente encontrar o que ficou conhecido como a combinação letal (lethal trifecta): acesso a dados privados, exposição a conteúdo não confiável e a capacidade de se comunicar externamente. Agentes com os três atributos são altamente vulneráveis. Como os LLMs tendem a seguir as instruções em sua entrada, um conteúdo que inclua uma diretiva para exfiltrar dados para uma fonte não confiável pode facilmente levar a vazamentos de dados. Uma técnica emergente para mitigar esse risco é a análise de fluxo tóxico, que examina o grafo de fluxo de um sistema com agentes para identificar caminhos de dados potencialmente inseguros para investigação posterior. Embora ainda em seus estágios iniciais, a análise de fluxo tóxico representa uma das várias abordagens promissoras para detectar os novos vetores de ataque aos quais os sistemas com agentes e os servidores MCP estão cada vez mais expostos.
