Falha no GitHub MCP permite acessar dados de repositórios privados

Pesquisadores identificaram uma vulnerabilidade crítica no GitHub MCP, ferramenta oficial da plataforma que permite que agentes de IA interajam com o GitHub, executando automaticamente tarefas como abertura de issues, commits e revisão de pull requests.

A falha, batizada de “Toxic Agent Flows”, explora técnicas de prompt injection em issues públicos. Com isso, um agente malicioso pode manipular o comportamento do agente de IA de um usuário legítimo, induzindo-o a expor dados sensíveis armazenados em repositórios privados.

Em um cenário descrito pelos pesquisadores, um invasor cria um issue malicioso em um repositório público. Quando o usuário, conectado ao GitHub via um cliente MCP como o Claude Desktop, solicita ao agente de IA que analise os issues abertos, o agente interpreta e executa as instruções ocultas no prompt. Isso pode levá-lo a acessar dados de repositórios privados e, em seguida, publicar essas informações em um pull request visível ao público. O ataque não depende de falhas no MCP nem nos modelos de IA, mas sim na forma como os agentes interpretam conteúdo externo.

Recomenda-se restringir o acesso do agente apenas aos repositórios estritamente necessários.