A cadeia de dependência agora inclui comportamento do agente
Antes, supply chain era pacote, imagem, action e script. Com agentes, entram também tool descriptions, MCP servers, Agentic Skills, AGENTS.md, regras de projeto e arquivos de instrução. Tudo isso pode influenciar o que o agente lê, escreve, executa ou decide.
MCP tool poisoning é perigoso porque a instrução maliciosa pode vir disfarçada de descrição de ferramenta, resposta de ferramenta ou mudança de servidor. O agente pode interpretar como orientação confiável e acionar ferramenta com permissão demais.
O que revisar
- Todo MCP server instalado, origem, versão e transporte.
- Ferramentas disponíveis e o que cada uma realmente consegue alcançar.
- Tool descriptions, schemas e respostas que entram no contexto do modelo.
- Agentic Skills com scripts, recursos e instruções versionadas.
- AGENTS.md, CLAUDE.md, GEMINI.md e arquivos de rules em repositório externo.
- Dependências que instalam MCP, hooks ou comandos pós-instalação.
- Logs e auditoria de tool call sem dados sensíveis.
Sinais de risco
Um servidor MCP pede escopo amplo para tarefa simples. Uma skill inclui script que acessa rede. Um AGENTS.md de repo externo manda ignorar testes. Uma descrição de ferramenta contém instrução escondida. Um pacote adiciona configuração de agente sem revisão.
Isso não é paranoia. É supply chain aplicada ao comportamento do agente.
Promptbook ajuda o founder a listar fronteiras. Risk Review entra quando a cadeia toca produção, cliente, cobrança, dados ou ferramenta que executa comando.
Fontes usadas
Em agentes, supply chain não termina no pacote instalado. Ela inclui a instrução que decide qual ferramenta será usada.
