Sabe quando você lê um post e pensa "Aleluia"!
Pois bem, a algum tempo tenho pensando em uma coisa e gostaria de compartilhar contigo e saber o que acha, hoje eu percebo que o maior furo de segurança se tornou a IA, por vários motivos, primeiro porque é uma produtora de outros furos de segurança, segundo porque ela própria se utiliza de engenharia social para manter o cliente ativo, e o ecossistema dela de agentes em geral também introduz uma camada nova de vulnerabilidades. Eu não sou da área de cybersec, mas gosto do assunto, e estava lendo seu post sobre o Threat Modeling e percebi algo, você me parece ter a mente certa para aplicar conjuntos de regras deterministicas em ferramentas de servidores MCP, já pensou nisso? Já pensou em desenvolver algo nesse sentido? Ai esta um projeto que eu gostaria muito de ver, não sei se é algo que você gostaria claro, mas tive a impressão que iria executar algo interessante. A propósito excelentes posts.
Obrigado.
[...]você me parece ter a mente certa para aplicar conjuntos de regras deterministicas em ferramentas de servidores MCP, já pensou nisso? Já pensou em desenvolver algo nesse sentido?
Não é algo que particularmente me interessa. Mas do ponto de vista de segurança, seria como em qualquer outro projeto: avaliar a segurança da arquitetura e da implementação.
Quando você domina o modelo mental de segurança, você consegue avaliar a segurança de qualquer tipo de projeto.
Ai esta um projeto que eu gostaria muito de ver[...]
Eu não estou muito afim de desenvolver nenhum projeto que não seja low level no momento. Mas se você tiver interesse em fazer por conta própria, eu já produzi alguns conteúdos que podem lhe ajudar:
- Como encontrar falhas de arquitetura de software, você já viu naquele post de threat modeling. Sugiro ler os materiais complementares: https://www.tabnews.com.br/Silva97/threat-modeling
- Como encontrar falhas de implementação, eu expliquei o raciocínio neste post: https://www.tabnews.com.br/Silva97/como-encontrar-vulnerabilidades
- Como aprender cybersec de forma geral, eu já expliquei neste artigo: https://blog.freedev.com.br/ciberseguran%C3%A7a-para-desenvolvedores-a37385cf5d23
- Dicas de materiais de estudos, eu já dei em um comentário de um post teu: https://www.tabnews.com.br/Silva97/90d07fbc-5f56-4830-bf0b-40ebe3ce7ae4
Se você for fazer open source e tiver interesse que eu avalie a segurança do projeto depois que você tiver um protótipo pronto, eu posso fazer isso de graça, mas só se for open source. Daí se eu encontrar problemas de segurança eu abro issues no repo e coisa e tal.
Sim, eu tenho um projeto onde eu gostaria de por isso, eu até já fiz uma parte para CSP, para quando a ia cria templates novos, manter alinhada e funcionou muito bem. Vou ler tudo com cuidado, acho muito interessante isso, eu lancei um projeto open source, mas ele ainda não envolve essa camada eu vou lançar um 2.0 no GIT com licença MIT que é mais abrangente e vou postar e te aviso, vai ser um prazer ter sua análise, e como é open source vai ajudar os outros também. Eu comecei a pensar nisso não como produto sabe, mas porque fiquei meio de cara com uma coisa, primeiro lançaram IA que criou um monte de furo de segurança agora estão criando o maior hype no novo modelo da Anthropic para varredura de vulnerabilidade e por uns testes que eu vi ele da mais de 60% de falso positivo. A hora que isso sair vai ser um deus nos ajude de posts e bla bla bla. Primeiro lançam IA que cria o problema e agora a IA que corrige, palhaçada né. Então um pouquinho irritado, eu comecei a desenvolver pra mim uma solução que já impede os furos antes, e vou adorar por isso na web de graça.