(11) 5626-1313 contato@memorycomp.com.br

Apenas 8,5% dos servidores MCP usam OAuth: por que o seu piloto de agente de IA pode ser uma porta aberta

Fernando Rabello Fernando Rabello · 02 de julho de 2026 · 4 min de leitura

Resumo

Pilotos de agentes de IA podem expor sistemas quando conectores sem autenticação aceitam comandos públicos. O texto descreve riscos, cenários e como uma arquitetura segura no Azure reduz essa exposição.

Sua empresa pode estar plugando agentes de IA em sistemas internos sem saber quem autorizou o quê. O time de tecnologia ou a área de negócio conecta um copiloto ao ERP, ao SharePoint, ao financeiro ou ao CRM para acelerar consulta, aprovação ou geração de relatório. O conector aceita comando sem login, fica acessível pela internet, e qualquer um que descubra o endereço pode disparar uma ação em nome da empresa. Quando o aviso chega, o pedido de compra, a aprovação ou a consulta de dado de cliente já saiu.

Não é cenário hipotético. Uma pesquisa recente apontou que apenas 8,5% dos conectores que ligam agentes de IA a sistemas usam um padrão decente de autenticação. Os outros 91,5% aceitam comando sem identificar quem é o dono da requisição. E falhas com nota 9,6 de criticidade já foram registradas em ferramentas baixadas centenas de milhares de vezes, com execução remota de código no equipamento do desenvolvedor.

O problema concreto para o negócio

O ponto cego não é a inteligência artificial em si. É o canal que liga o copiloto aos dados e ferramentas da empresa. Esse canal nasceu rápido, focado em facilidade, e a autenticação ficou opcional. Na prática, isso significa cinco riscos que entram direto no balanço.

  • Primeiro, invocação de tool sem login: o conector responde para quem chegar.
  • Segundo, vazamento de credencial, quando uma função do agente devolve por engano uma senha ou chave de API que tinha guardada para uso interno.
  • Terceiro, instrução maliciosa injetada na resposta de uma tool, que faz o agente executar algo diferente do que o usuário pediu.
  • Quarto, manipulação de caminho ou comando, quando a entrada do usuário é jogada direto em um arquivo ou shell.
  • Quinto, movimento lateral, quando o agente roda com permissão ampla e vira porta para o resto do ambiente.

O que mudou no Azure

A Microsoft publicou uma arquitetura pronta para hospedar esses agentes com segurança no Azure App Service, e o ponto importante é que virou configuração de plataforma, não código que cada empresa escreve e erra do seu jeito.

São cinco camadas que se complementam.

  • A primeira é a autenticação integrada do App Service ligada ao Entra ID, em modo compatível com a especificação de autorização do protocolo de agentes, de forma que o cliente de IA descubra sozinho como pedir login e o usuário seja identificado antes de qualquer linha de código rodar.
  • A segunda é a identidade gerenciada, eliminando o hábito de guardar chaves estáticas para acessar cofre de senhas, banco ou serviços de IA.
  • A terceira é a referência ao cofre nas configurações da aplicação, com disciplina de que a função do agente retorne o metadado do segredo e nunca o conteúdo do segredo, e com lista de termos permitidos para evitar manipulação de caminho ou comando.
  • A quarta é a rede privada, com a aplicação fora da internet pública e o gateway de APIs como única porta de entrada, validando o token, limitando a taxa de chamadas e podendo aplicar análise de conteúdo.
  • A quinta é o monitoramento com telemetria estruturada e alerta automático quando uma função sensível começa a ser martelada acima do padrão.

Cenários reais nas empresas brasileiras

O copiloto que consulta o ERP para responder em quanto tempo o cliente é faturado precisa saber quem está perguntando, ou um terceiro descobre a margem da operação. O agente que prepara aprovação de compra no financeiro precisa ter login do solicitante, ou o limite de alçada vira ficção. O assistente que lê o SharePoint para resumir contratos não pode rodar com permissão de administrador, ou uma pergunta inocente entrega cláusula confidencial. Em todos esses casos, o desenho da plataforma decide se o piloto vira eficiência ou incidente.

Pontos de atenção antes do projeto

A arquitetura segura tem custo de fricção. Subir o gateway de APIs leva alguns minutos a mais, o teste passa pelo gateway em vez do endereço direto, e a publicação do código exige duas fases quando a aplicação já está fechada na rede privada. Vale também conferir o licenciamento do Entra ID e dos serviços de IA envolvidos, porque o desenho pressupõe identidade corporativa ativa, e revisar a lista de aplicações autorizadas a chamar o conector, para que clientes de IA conhecidos consigam pedir login sem prompts travados.

Link do learn: https://learn.microsoft.com/pt-br/azure/app-service/configure-authentication-mcp

Como a Memory pode apoiar

A Memory opera Azure App Service, Entra ID, Key Vault, API Management e Azure Monitor como portfólio central e ajuda a empresa a desenhar a arquitetura de copilotos e agentes de IA já dentro desse molde seguro. Revisamos pilotos que estão rodando hoje, identificamos onde o conector está exposto, estruturamos o ajuste de identidades, segredos, rede e monitoramento, e ajustamos o licenciamento para que a base de segurança esteja coerente com o risco do dado que o agente toca.

Conclusão

A inteligência artificial conectada aos sistemas da empresa só entrega valor quando o canal de conexão é tão sério quanto o resto da infraestrutura. Tratar o piloto de copiloto como protótipo descartável é assumir um risco que não precisa existir, porque a arquitetura segura já está disponível como configuração. Vale começar pela forma certa em vez de corrigir depois do primeiro susto.

Fale com o Claude e pergunte sobre o tema deste post

Arrisque conhecer mais sobre o tema perguntando e conhecendo mais logo abaixo.

Pergunte ao Claude sobre este artigo

Aprofunde o assunto sem sair da página

Respostas geradas por IA com base neste artigo. Podem conter imprecisões.

Voltar para o blog