A plataforma de gerenciamento de projetos Asana revelou ter corrigido uma falha em um de seus novos recursos de inteligência artificial (IA) que, por algumas semanas, permitiu que alguns usuários tivessem acesso a informações de outros. A empresa assegura que o problema foi resolvido e que não se tratou de um ataque malicioso, mas sim de uma falha lógica em seu servidor MCP (Model Context Protocol).
O MCP é um framework de código aberto que possibilita que assistentes de IA interajam com sites e aplicativos. A implementação do servidor MCP da Asana visava permitir que empresas integrassem funcionalidades de IA, como a sumarização de textos e buscas em linguagem natural, oferecidas por modelos de linguagem grandes (LLMs). Contudo, essa nova funcionalidade aparentemente trouxe consigo vulnerabilidades inesperadas. Segundo informações, durante o período em que a falha esteve ativa, usuários da Asana que utilizavam o servidor MCP puderam acessar informações de projetos, equipes, tarefas e outros dados de contas alheias.
A Asana agiu rapidamente ao detectar a falha, desativando o servidor e notificando os clientes que utilizavam o MCP. A empresa estima que cerca de 1.000 contas foram afetadas. A Asana orientou as empresas potencialmente impactadas a revisarem seus registros de acesso ao MCP e quaisquer informações geradas por suas ferramentas de IA, reportando à Asana qualquer dado que não pertencesse à sua organização. A empresa já colocou o servidor online novamente em 17 de Junho de 2025, e está trabalhando para mitigar os riscos futuros. O incidente serve como um alerta sobre os desafios de segurança e privacidade que acompanham a crescente adoção da IA em plataformas colaborativas. A segurança de dados é crucial ao implementar novas tecnologias.
Origem: Link