A Anthropic corrigiu de forma discreta três vulnerabilidades graves em seu servidor Git MCP, uma ferramenta voltada para integrar seus modelos de linguagem, como o Claude, a plataformas de versionamento como o GitHub. As falhas foram identificadas por pesquisadores da empresa de segurança Cyata, que alertaram sobre o risco de execução remota de código e sobrescrita de arquivos por meio de ataques via prompt injection. O servidor MCP atua como uma ponte entre o modelo de IA e repositórios de código, permitindo que a inteligência artificial leia, analise e até edite arquivos em projetos hospedados online. No entanto, a forma como o servidor processava comandos abriu brechas que permitiam abusos graves, caso um atacante conseguisse influenciar as instruções enviadas ao modelo.
As vulnerabilidades foram registradas como CVE-2025-68143, CVE-2025-68144 e CVE-2025-68145. Juntas, elas possibilitavam a criação de repositórios em locais arbitrários do sistema, execução de comandos por meio de filtros do Git e a modificação ou sobrescrita de arquivos críticos no ambiente onde o servidor estava rodando. O ataque se dava por meio de prompt injection indireto, uma técnica em que comandos maliciosos são inseridos em arquivos aparentemente inofensivos como READMEs, issues ou commits. Ao interagir com esses conteúdos, o modelo de IA era induzido a executar ações não intencionadas, potencialmente comprometendo todo o ambiente.
Para mitigar os riscos, a Anthropic removeu a funcionalidade git_init, que permitia inicializar repositórios de forma insegura, e adicionou filtros para impedir a manipulação de argumentos utilizados nos comandos do Git. As correções foram aplicadas em uma build lançada em 18 de dezembro de 2025. Apesar de não haver evidências públicas de exploração ativa das falhas, os pesquisadores alertam que o caso serve como um aviso sobre os perigos da automação de tarefas sensíveis por meio de modelos de linguagem. A combinação de IA e ferramentas com acesso direto à infraestrutura crítica pode abrir novas superfícies de ataque se não forem implementadas com mecanismos de segurança robustos. A Anthropic optou por não comentar publicamente o incidente, mas o relatório da Cyata reforça que falhas como essas são particularmente preocupantes em sistemas “agênticos”, nos quais modelos de IA são treinados para executar ações autônomas em ambientes reais.
