O GitHub adicionou checagens de segurança diretamente ao servidor MCP para reduzir vazamentos de segredos e dependências vulneráveis no fluxo de trabalho assistido por agentes de IA, estendendo práticas de "shift left" para o ambiente onde modelos interagem com serviços externos.
O GitHub lançou varredura de dependências em preview público e deixou a varredura de segredos disponível de forma geral para seu servidor MCP.
O objetivo é reduzir vazamentos e códigos inseguros que podem se espalhar quando agentes de IA interagem com serviços externos.
MCP, ou Model Context Protocol, é um protocolo aberto que permite que modelos se conectem a ferramentas, repositórios, bancos de dados e plataformas de nuvem.
O protocolo, criado inicialmente pela Anthropic e doado à Agentic AI Foundation, virou peça-chave no ecossistema de agentes de IA.
O problema é que servidores MCP podem acabar virando pontos onde segredos expostos e dependências vulneráveis circulam antes que equipes consigam detectar.
“MCP servers are becoming another place where exposed secrets, vulnerable dependencies, and unsafe code can spread through systems before teams catch them.”
Além da dependência, outro risco frequente são credenciais expostas como chaves de API, senhas e tokens que acabam temporariamente codificados durante o desenvolvimento.
Casos recentes mostram agentes de IA encontrando e usando credenciais com permissões excessivas, chegando a causar danos em produção.
Para enfrentar isso, o GitHub integrou a varredura de segredos diretamente no fluxo do servidor MCP, permitindo que ferramentas e agentes sinalizem vazamentos enquanto escrevem código.
Antes, o GitHub já fazia checagens de segurança no Copilot, incluindo CodeQL, varredura de segredos e revisão de dependências antes do pull request atingir um revisor humano.
As atualizações no servidor MCP estendem essa lógica para o ambiente assistido por agentes, fechando a janela entre a escrita do código e a sua chegada à produção.
“I guarantee you, most people are doing that, rather than taking the time to properly manage their secrets,”
Ferramentas como Betterleaks surgiram justamente para detectar segredos no que se chama a era dos agentes de IA.
Ao mover verificações para dentro das próprias ferramentas, o GitHub aposta que vai reduzir erros que acontecem quando desenvolvedores correm e pulam revisões manuais.
No fim das contas, é uma aposta em ‘shift left’ — pegar problemas onde eles nascem, sem esperar o deploy.
