AppSec Newsletter 0044

Olá champs! Chegamos a mais uma edição da nossa newsletter!

Vídeo novo no canal

Você deve ter visto que as últimas semanas foram movimentadas com tantos pacotes NPM sendo comprometidos. No vídeo de hoje vamos falar sobre a estratégia de AppSec para mitigarmos este tipo de risco.

DevSecCon

Dia 22 de outubro vamos ter a DevSecCon! Online e gratuito!

Faça seu cadastro aqui!

Links

• Snyk publicou um artigo sobre detectar Tool Poisoning em MCPs: https://labs.snyk.io/resources/detect-tool-poisoning-mcp-server-security/

• Caido lançou um lab gratuito para entender e praticar webhacking: https://labs.cai.do/

• Lakera publicou um artigo sobre um Zero Click RCE em MCP: https://www.lakera.ai/blog/zero-click-remote-code-execution-exploiting-mcp-agentic-ides

• Amazon publicou um artigo sobre acelerar Threat Modeling com IA Generativa: https://aws.amazon.com/pt/blogs/machine-learning/accelerate-threat-modeling-with-generative-ai/?utm_source=chatgpt.com

• Um site foi criado especificamente para segurança de MCP: https://modelcontextprotocol-security.io/

• Snyk publicou um artigo sobre uso de IA por bibliotecas maliciosas para otimizar o exploit: https://snyk.io/pt-BR/blog/weaponizing-ai-coding-agents-for-malware-in-the-nx-malicious-package/

• Paper sobre MCP landscape, security threats e pesquisas futuras: https://arxiv.org/pdf/2503.23278

• A Michelle publicou um artigo sobre arquitetura + STRIDE com MCP no Cursor: https://michelleamesquita.medium.com/automatizando-arquitetura-stride-com-mcp-no-cursor-c778de635110

Siga o Guia de AppSec nas redes!

• Youtube: youtube.com/@GuiadeAppSec

• Twitter / X: twitter.com/guiadeappsec

• Site: guiadeappsec.com.br