O agente ficou com ferramentas na mão
Model Context Protocol, servidores MCP e conectores parecidos mudaram o jogo: o agente deixa de só sugerir texto e passa a chamar ferramenta, ler contexto, abrir issue, consultar docs, navegar, rodar teste e editar arquivos. Para produtividade, isso é excelente. Para segurança, cria uma nova fronteira.
O risco não é "MCP é ruim". O risco é aprovar uma ferramenta sem entender que ela pode ler dado sensível, executar comando, publicar informação ou combinar ações para exfiltrar contexto.
Perguntas que importam
- Qual ferramenta o agente consegue chamar?
- Ela lê arquivos, segredos, banco, issues, analytics ou e-mail?
- Existe aprovação manual para ações sensíveis?
- A configuração é global ou por projeto?
- O servidor MCP veio de fonte confiável?
- Os logs mostram qual ferramenta foi usada e por quê?
- O agente pode fazer rede livre ou executar comando sem revisão?
Onde SaaS com IA deve revisar
O ponto crítico é qualquer agente ligado a produção, suporte, CRM, pagamentos, storage, logs, repositório privado ou ambiente com segredo. Uma prompt injection indireta em documento, ticket ou página pode tentar induzir ferramenta a fazer algo fora do fluxo esperado.
O caminho saudável
Comece com leitura. Depois libere ferramenta por menor privilégio. Exija confirmação para escrita, deploy, comandos, rede, exportação e mudança de configuração. Revise AGENTS.md, regras do projeto, mcp.json, permissões da IDE e secrets antes de tratar o agente como colega autônomo.
Agente com ferramenta é sistema com permissão. E sistema com permissão precisa de escopo, log e limite.
