Model Context Protocol

Model Context Protocol (Protocolo de Contexto de Modelo em português, sigla MCP) é um padrão aberto e framework de código aberto introduzido pela Anthropic em novembro de 2024 com o objetivo de padronizar a forma como sistemas de inteligência artificial, em especial os modelos de linguagem de grande escala (LLMs), integram e compartilham dados com ferramentas externas, sistemas e fontes de dados.^[1] O protocolo fornece uma interface universal para leitura de arquivos, execução de funções e tratamento de prompts contextuais.^[2]

Após seu lançamento, o protocolo foi adotado por grandes provedores de IA, incluindo OpenAI e Google DeepMind.^[3][4] Em dezembro de 2025, a Anthropic doou o MCP à Agentic AI Foundation (AAIF), um fundo dirigido pela Linux Foundation, cofundado pela Anthropic, pela Block e pela OpenAI.^[5]

O MCP é frequentemente comparado ao USB-C para a IA, uma metáfora popularizada por um artigo da Ars Technica que destacou sua capacidade de unir concorrentes ferrenhos em torno de um padrão comum.^[6]

Antes do MCP, integrar um modelo de IA com ferramentas externas exigia implementações customizadas e pontuais para cada combinação de modelo e serviço. Esse cenário era descrito pela Anthropic como um problema N×M de integração de dados: com N ferramentas (como Slack, GitHub ou bancos de dados) e M front-ends de modelos (como ChatGPT, Gemini ou Claude), o número de conectores necessários crescia multiplicativamente, tornando a manutenção inviável em escala.^[7]

Abordagens anteriores como a API de function-calling da OpenAI (2023) e o framework de plug-ins do ChatGPT, resolveram problemas similares, mas exigiam conectores específicos de cada fornecedor.^[6] O MCP propôs uma solução diferente: em vez de conectores proprietários, um protocolo aberto e padronizado que qualquer desenvolvedor poderia implementar em qualquer plataforma de IA.

O protocolo inspirou-se nas ideias de fluxo de mensagens do Protocolo de servidor de linguagem (LSP), que padronizou o suporte a linguagens de programação em um ecossistema diverso de ferramentas de desenvolvimento. Da mesma forma, o MCP busca padronizar como contexto adicional e ferramentas se integram ao ecossistema de aplicações de IA.^[8]

O MCP define uma arquitetura cliente-servidor com três componentes fundamentais:^[9]

• Host MCP (MCP Host): A aplicação de IA que coordena e gerencia um ou múltiplos clientes MCP. É o ponto de entrada para o usuário e contém a lógica de orquestração. Exemplos: Claude Desktop, Cursor, Visual Studio Code, Replit.

• Cliente MCP (MCP Client): Um componente que mantém uma conexão com um servidor MCP e obtém contexto deste servidor para uso pelo host. Cada cliente tem uma relação um-para-um com seu respectivo servidor MCP. Exemplos: IBM BeeAI, Microsoft Copilot Studio, Postman.

• Servidor MCP (MCP Server): Um programa que fornece contexto e capacidades aos clientes MCP. Servidores expõem recursos, ferramentas e prompts por meio de primitivos padronizados do protocolo. Podem ser executados localmente ou como serviços remotos.

Essa separação de preocupações significa que um único servidor MCP pode funcionar com qualquer IA compatível com MCP, e uma única IA pode se conectar a qualquer número de servidores MCP sem integrações customizadas.^[10]

A comunicação entre clientes e servidores MCP utiliza o JSON-RPC 2.0 como formato de mensagens padronizado, com três tipos de mensagens: requisições (que exigem resposta do servidor), respostas e notificações (que não exigem resposta).^[9]

Existem dois métodos de transporte principais:^[11]

• Entrada/saída padrão (stdio): Adequado para recursos locais. Extremamente rápido, pois as mensagens permanecem na mesma máquina. Ideal para extensões de IDE, scripts locais e ferramentas de desenvolvimento.

• Server-Sent Events (SSE) / HTTP: Preferível para recursos remotos, permitindo transmissão de dados em tempo real. Utilizado quando cliente e servidor estão em máquinas distintas.

Uma sessão MCP segue um ciclo de vida previsível: inicialização → negociação de capacidades → operação → encerramento. Durante a fase de inicialização, cliente e servidor declaram as capacidades que suportam, ferramentas disponíveis, recursos acessíveis, templates de prompts, permitindo adaptação dinâmica do comportamento. Ao longo da sessão, o cliente pode descobrir capacidades do servidor (capability discovery), invocar ferramentas e receber notificações assíncronas.^[12]

O MCP é construído em torno de um conjunto de primitivos, abstrações bem definidas que formam o vocabulário da interação humano-IA-ferramenta. Cada primitivo tem um papel específico: alguns definem o que a IA pode fazer, outros definem o que ela pode ler e outros estruturam fluxos de trabalho complexos de múltiplas etapas.^[10]

Ferramentas são ações executáveis expostas por um servidor MCP. Funcionam como funções bem definidas que um agente de IA pode invocar: fazer uma requisição de API, ler um arquivo, executar uma consulta a banco de dados ou disparar um workflow. Cada ferramenta possui um esquema de entrada e saída claramente definido, de modo que o agente sempre sabe quais parâmetros enviar e qual estrutura esperar de retorno.^[13]

Recursos fornecem acesso estruturado a informações que a aplicação de IA pode recuperar e fornecer como contexto aos modelos. Diferentemente das ferramentas, recursos são dados, não ações: arquivos, logs, registros, esquemas de banco de dados, documentos de configuração ou metadados estruturados que o modelo pode precisar durante um workflow.^[13]

Prompts são templates reutilizáveis e workflows para comunicação entre LLM e servidor. Permitem que autores de servidores MCP forneçam templates de prompts parametrizados para um domínio, ou demonstrem como utilizar melhor o servidor MCP, garantindo consistência e qualidade na forma como a IA formula requisições.^[9]

O sampling permite que servidores solicitem completações de LLM por meio do cliente, habilitando um workflow agêntico. Essa abordagem mantém o cliente no controle completo das permissões de usuário e medidas de segurança, sem exigir que o servidor possua chaves de API do modelo.^[14]

A elicitação permite que servidores solicitem informações adicionais dos usuários durante suas operações. Por exemplo, se o servidor MCP do GitHub precisa saber em qual branch realizar um commit, pode solicitar essa informação ao usuário durante a operação usando esquemas JSON estruturados para validar a resposta. Isso viabiliza workflows mais interativos, mantendo a segurança por meio da supervisão humana.^[14]

Roots são uma forma padronizada para clientes exporem limites do sistema de arquivos a servidores. Permitem que os servidores saibam quais diretórios ou arquivos o cliente autoriza a acessar, estabelecendo fronteiras claras de acesso antes que qualquer operação seja realizada.^[14]

O MCP foi anunciado pela Anthropic em 25 de novembro de 2024 como um padrão aberto para conectar assistentes de IA a sistemas de dados, como repositórios de conteúdo, ferramentas de gestão empresarial e ambientes de desenvolvimento.^[7] O protocolo foi lançado acompanhado de SDKs nas linguagens Python, TypeScript, C# e Java, além de um repositório de implementações de referência de servidores MCP.^[15]

Na data de lançamento, ferramentas como Replit, Sourcegraph e editores como Zed já haviam integrado o protocolo.^[16]

Em março de 2025, a OpenAI adotou oficialmente o MCP, integrando o padrão em seus produtos, incluindo o aplicativo de desktop do ChatGPT.^[3] A adoção por uma empresa concorrente foi amplamente noticiada como um sinal de crescente consenso em torno da utilidade do protocolo.^[16]

Em abril de 2025, o Google anunciou que também adotaria o MCP.^[4] A Microsoft integrou suporte ao MCP em suas ferramentas de desenvolvedor e plataforma de nuvem, incluindo Azure OpenAI e Microsoft Semantic Kernel, e na conferência Microsoft Build de 2025, GitHub e Microsoft anunciaram adesão ao comitê diretor do MCP.^[17]

Servidores MCP podem ser implantados na Cloudflare, que publicou documentação técnica para implantação remota em março de 2025.^[18]

Em dezembro de 2025, a Anthropic doou o MCP à Agentic AI Foundation (AAIF), um fundo dirigido sob a Linux Foundation, cofundada pela Anthropic, pela Block e pela OpenAI, com suporte de outras empresas. O objetivo da doação foi garantir que o protocolo evoluísse de forma neutra, aberta e colaborativa, sem dependência de um único fornecedor.^[5]

O ecossistema MCP cresceu rapidamente. Serviços de automação de workflow como o Zapier relataram milhões de requisições processadas por meio de seus endpoints MCP. Diretórios comunitários como o MCP.so tornaram-se infraestrutura importante para descoberta e avaliação de servidores, com dezenas de milhares de servidores MCP disponíveis e pesquisáveis.^[10] A OpenAI lançou a ChatGPT App Store em dezembro de 2025, demonstrando o crescente apetite por ações dentro de conversas baseadas em MCP.^[10]

O MCP é amplamente utilizado em ferramentas de desenvolvimento de software assistido por IA. Ambientes de desenvolvimento integrado (IDEs) como Cursor e plataformas de código como Replit e ferramentas de inteligência de código como Sourcegraph adotaram o MCP para conceder a assistentes de codificação de IA acesso em tempo real ao contexto do projeto.^[16]

O MCP habilita aplicações como consulta a bancos de dados estruturados com linguagem natural, permitindo que usuários façam perguntas como "qual foi o faturamento por região no último trimestre?" sem precisar escrever SQL.^[19]

MCP Apps por vezes chamadas de AI-powered apps ou connector apps, representam uma evolução significativa na forma como empresas implantam IA para seus clientes. Em vez de um chatbot genérico com base de conhecimento estática, um MCP App é uma interface de IA conectada a sistemas de backend ativos por meio de servidores MCP, permitindo realizar ações reais, recuperar dados em tempo real e personalizar respostas em escala. Casos de uso típicos incluem exploração de dados complexos, configuração de ambientes com múltiplas opções interdependentes e aprovação de fluxos de trabalho de múltiplas etapas.^[10]

Organizações utilizam MCP para conectar agentes de IA a sistemas de ERP, CRM, sistemas de inventário, plataformas de ticketing e outros sistemas legados, permitindo que agentes executem tarefas como aprovação de relatórios de despesas, revisão de alterações de código e triagem de problemas em sistemas de suporte.^[10]

O MCP introduz capacidades poderosas por meio de caminhos arbitrários de acesso a dados e execução de código. Com esse poder surgem considerações importantes de segurança e confiança que todos os implementadores devem endereçar cuidadosamente.^[8]

Em abril de 2025, pesquisadores de segurança divulgaram uma análise que identificou múltiplos problemas de segurança no MCP, incluindo injeção de prompt, permissões de ferramentas que permitem combinar ferramentas para exfiltrar dados, e ferramentas lookalike que podem substituir silenciosamente ferramentas confiáveis.^[10]

Uma pesquisa da Knostic em julho de 2025 varreu cerca de 2.000 servidores MCP expostos à internet e constatou que todos os servidores verificados careciam de qualquer forma de autenticação.^[14]

A injeção de prompt (prompt injection) é listada como LLM01 no OWASP Top 10 para aplicações de LLM e GenAI. No contexto do MCP, ataques de injeção de prompt envolvem entradas maliciosas fornecidas diretamente por usuários ou indiretamente por fontes de dados externas comprometidas que manipulam o comportamento da IA, induzindo-a a realizar ações não intencionadas, como transações não autorizadas ou vazamento de dados sensíveis.^[20]

O envenenamento de ferramentas (Tool Poisoning Attack, TPA) é uma forma especializada de injeção de prompt onde instruções maliciosas são embutidas nas descrições de ferramentas do MCP visíveis ao modelo de IA, mas normalmente não exibidas aos usuários. O Invariant Labs foi o primeiro a propor e demonstrar esse paradigma de ataque em abril de 2025.^[21]

Em um ataque demonstrado pelo Invariant Labs, um servidor MCP malicioso conseguiu exfiltrar o histórico completo do WhatsApp de um usuário combinando envenenamento de ferramenta com um servidor whatsapp-mcp legítimo presente no mesmo agente.^[22]

Pesquisas da Elastic Security Labs em março de 2025 identificaram que 43% das implementações de servidores MCP publicamente disponíveis continham falhas de injeção de comando, enquanto 30% permitiam busca de URL sem restrições.^[20]

No ataque de rug pull, uma ferramenta que inicialmente parecia segura altera dinamicamente seu comportamento ou descrição após o usuário ter concedido permissão. Ferramentas MCP podem mutar suas próprias definições após a instalação sem notificar o usuário. Como descreveu a pesquisadora Elena Cross: um usuário aprova uma ferramenta de aparência segura no Dia 1, e uma semana depois ela já redirecionou silenciosamente suas chaves de API para um atacante.^[23]

No sombreamento de ferramentas (tool shadowing), um servidor MCP malicioso injeta uma descrição de ferramenta que modifica o comportamento do agente em relação a um serviço ou ferramenta confiável, induzindo comportamento malicioso. O Invariant Labs demonstrou que, quando múltiplos servidores MCP estão conectados ao mesmo cliente, um servidor malicioso pode sequestrar o comportamento do agente em relação a servidores confiáveis, possibilitando a exfiltração de credenciais e dados privados sem que o usuário perceba.^[21]

• CVE-2025-6514 (mcp-remote): Falha crítica de injeção de comando em um proxy OAuth popular para conectar clientes MCP locais a servidores remotos. Com mais de 437.000 downloads, a vulnerabilidade efetivamente transformava qualquer instalação sem correção em uma porta dos fundos de ataque à cadeia de suprimentos.^[22]
• CVE-2025-49596 (MCP Inspector): Vulnerabilidade de CSRF em um utilitário de desenvolvedor popular que permitia execução remota de código simplesmente ao visitar uma página web manipulada.^[20]

As principais mitigações recomendadas por pesquisadores de segurança incluem: implementação de fluxos robustos de consentimento e autorização (OAuth 2.0); validação estrita de entradas; princípio do menor privilégio para permissões de ferramentas; monitoramento contínuo de comportamento de servidores MCP; exibição clara de descrições de ferramentas aos usuários (com alertas sobre mudanças); uso de ambientes de sandbox (como contêineres Docker) para execução de servidores MCP; e auditoria regular de configurações de MCP.^[24][8]

O MCP foi lançado com SDKs oficiais nas seguintes linguagens de programação: Python, TypeScript, C#, Java, Kotlin, Go, PHP, Perl, Ruby, Rust e Swift.^[10]

Ferramentas notáveis do ecossistema de desenvolvimento incluem:

• MCPJam Inspector: Cliente de desenvolvimento local para servidores MCP, com emulador de widget completo e inspeção profunda de ferramentas, recursos, prompts e fluxos OAuth.
• MCP.so: Diretório comunitário para descoberta e avaliação de servidores MCP, com dezenas de milhares de servidores catalogados.
• FastMCP: Framework Python que simplifica a criação de servidores MCP, abstraindo os detalhes de plumbing do JSON-RPC.

O MCP tem sido comparado ao OpenAPI (especificação Swagger), uma especificação similar que busca descrever APIs de forma padronizada. Enquanto o OpenAPI descreve o que uma API faz, o MCP padroniza como os agentes de IA se conectam e interagem com essas APIs em tempo de execução.^[25]

O MCP também é relacionado ao protocolo Agent2Agent (A2A), desenvolvido pelo Google, que é um protocolo aberto para comunicação direta entre agentes de IA. Enquanto o MCP padroniza como agentes se conectam a ferramentas e dados, o A2A padroniza como agentes se comunicam entre si.^[10]

Pesquisadores acadêmicos caracterizaram o MCP como uma solução à fase de integração N×M, que o coloca em posição análoga ao Language Server Protocol (LSP) no ecossistema de desenvolvimento de software um ponto de inflexão que transforma integrações fragmentadas em um padrão interoperável.^[26]

A adoção generalizada do MCP em menos de um ano por concorrentes como OpenAI e Google, por plataformas de nuvem como Microsoft Azure e Cloudflare, e por dezenas de ferramentas do ecossistema de desenvolvimento sugere que o protocolo atingiu massa crítica como padrão de facto para interoperabilidade de agentes de IA.^[27]

O crescimento do ecossistema MCP é citado em pesquisas de mercado como um dos principais impulsionadores da expansão do mercado de IA agêntica. Uma pesquisa da PwC de maio de 2025 identificou que 88% dos executivos planejavam aumentar seus orçamentos relacionados à IA nos 12 meses seguintes, especificamente em razão da IA agêntica.^[28]

Com a doação à Linux Foundation em dezembro de 2025, o MCP passa a ser governado de forma neutra e aberta, o que deverá acelerar ainda mais sua adoção em setores regulados como saúde, finanças e governo, onde a neutralidade de fornecedor é um requisito crítico.^[5]

• Anthropic
• Agente inteligente
• Modelo de linguagem de grande escala
• Inteligência artificial generativa
• Ciclo de Desenvolvimento de Software Aumentado por IA
• JSON-RPC
• Claude (modelo de linguagem)
• OpenAI
• LangChain
• DevOps
• Engenharia de software

• Stratis, Kyle (2025). AI Agents with MCP (Model Context Protocol). [S.l.]: O'Reilly Media 
• Huyen, Chip (2025). AI Engineering: Building Applications with Foundation Models. [S.l.]: O'Reilly Media. ISBN 978-1-098-16610-1 Verifique |isbn= (ajuda) 
• Albada, Michael (2025). Building Applications with AI Agents. [S.l.]: O'Reilly Media 

• Hou, Xinyi; Zhao, Yanjie; Wang, Shenao; Wang, Haoyu (2025). «Model Context Protocol (MCP): Landscape, Security Threats, and Future Research Directions». arXiv. arXiv:2503.23278  !CS1 manut: Nomes múltiplos: lista de autores (link)
• Ray, Partha (2025). «A survey on Model Context Protocol: Architecture, state-of-the-art, challenges and future directions». TechRxiv 
• Diversos autores (2025). «Systematic Analysis of MCP Security». arXiv. arXiv:2508.12538 

• Especificação oficial do MCP (versão 2025-11-25)
• Repositório oficial no GitHub
• Documentação da Anthropic sobre MCP

• Edwards, Benj (1 de abril de 2025). «MCP: The new "USB-C for AI" that's bringing fierce rivals together». Ars Technica 
• «Why MCP Won». Latent Space 
• MacManus, Richard (13 de março de 2025). «MCP: The Missing Link Between AI Agents and APIs». The New Stack 

• Site oficial do Model Context Protocol
• Repositório GitHub oficial
• Anúncio original da Anthropic (novembro de 2024)
• MCP.so — Diretório comunitário de servidores MCP

Parte da série sobre
Inteligência artificial (IA)
Objetivos Inteligência artificial geral Agente inteligente Planejamento automatizado Visão computacional Representação de conhecimento Processamento de linguagem natural Robótica
Abordagens Aprendizado de máquina Aprendizado com feedback humano Aprendizagem profunda Engenharia de IA Rede bayesiana Algoritmo evolutivo
Aplicações Deepfake IA distribuída IA explicável IA generativa Arte Música IA Geral Governo IA para TI Tradução automática Militar Corretor gramatical Processamento de linguagem natural Retificação de imagem Reconhecimento de entidade mencionada Reconhecimento de fala Reconhecimento ótico de caracteres Projetos
Filosofia Alinhamento da IA Consciência artificial Quarto chinês IA amigável Ética Teste de Turing Risco existencial Vale da estranheza
História Progresso Explosão de IA
Controvérsias Impacto ambiental Segurança Rebelião das máquinas Pornografia deepfake Tay (chatbot)
Tópicos relacionados Alucinação Cérebro artificial Cérebro positrônico Comportamento da máquina Computação bioinspirada Computação evolucionária Computação social Direito à realidade Psicose por inteligência artificial Raciocínio automatizado Raciocínio baseado em casos Robótica em nuvem Autorreplicadoras Inteligência computacional Inteligência de conteúdo Inteligência de enxame Máquina Moral Reconhecimento facial Sistema especialista Sistema multiagente Tutorias inteligentes Vetores de suporte Algoritmo genético Pesquisa tabu Colônia de formigas Enxame de partículas GRASP Classificação estatística
v d e