OpenAI revela modo Developer do ChatGPT com suporte a MCP

 (platform.openai.com)
9 pontos por GN⁺ 2025-09-11 | 1 comentários | Compartilhar no WhatsApp
  • O modo Developer é um recurso beta que oferece um cliente MCP completo (leitura/escrita) para todas as ferramentas, voltado a desenvolvedores que querem testar com segurança configurações avançadas de conectores
  • Ao usar, é preciso ter atenção aos riscos de prompt injection e MCP malicioso, além de erros destrutivos em ações de escrita; por isso, o processo de revisão e aprovação de payloads antes da chamada de ferramentas é importante
  • A ativação é feita em Settings → Connectors → Advanced → Developer mode na web, e é possível adicionar servidores MCP remotos para importar ferramentas e gerenciar alternâncias
  • Durante a conversa, ao selecionar Developer mode e instruir explicitamente conectores e ferramentas, fica mais fácil escolher a ferramenta correta; técnicas de prompt como schema de entrada e definição de ordem são eficazes
  • Ações de escrita exigem aprovação por padrão, e ferramentas sem a anotação readOnlyHint são tratadas como ferramentas de escrita; por isso, é necessário operar com cautela do ponto de vista de prevenção de uso indevido e proteção de dados

Visão geral

  • Definição: o Developer mode do ChatGPT é um modo beta que fornece a função de cliente com permissões de leitura/escrita para todos os conectores e ferramentas MCP conectados
  • Público-alvo: disponível para usuários Pro/Plus que saibam configurar e testar conectores com segurança
  • Atenção: há riscos de segurança como prompt injection, destruição de dados por erros de escrita do modelo e MCP voltado ao roubo de informações

Ativação e importação de MCP

  • Caminho de ativação: ative em Settings → Connectors → Advanced → Developer mode
  • Adicionar servidor MCP: ao registrar um servidor MCP remoto na aba Connectors das configurações, ele aparece no seletor de ferramentas do Developer mode na conversa
  • Protocolo: suporte a SSE e streaming HTTP
  • Autenticação: suporte a OAuth ou sem autenticação
  • Sincronização de ferramentas: na tela de detalhes do conector, é possível usar o toggle On/Off das ferramentas e o Refresh para buscar a lista e as descrições mais recentes

Diretrizes de uso de ferramentas na conversa

  • Chamada explícita: instrua de forma específica, como em “use update_record do conector Acme CRM para …”
  • Proibir alternativas: explicite condições de proibição, como “não use navegação embutida, use apenas Acme CRM”, para evitar confusão
  • Diferenciar ferramentas semelhantes: defina regras de prioridade, como “para reuniões, priorize Calendar.create_event; Reminders.create_task é proibido”
  • Fixar schema de entrada e ordem: detalhe a sequência de chamadas e o formato do payload, como “primeiro Repo.read_file { path }, depois Repo.write_file …”
  • Preferência por conectores aninhados: declare políticas de origem dos dados, como “para dados de permissão, priorize CompanyDB; só use a fonte auxiliar em caso de falha”
  • Melhorar a orientação ao modelo: se o servidor MCP fornecer descrições de ferramenta e comentários de parâmetros orientados a ação com ‘Use this when …’, a precisão na escolha da ferramenta melhora

Exemplos de prompt

  • Criar agenda: “crie uma reunião amanhã às 15h PT por 30 minutos com Calendar.create_event; não use outras ferramentas de agendamento”
  • Criar PR: “use GitHub.open_pull_request para feat-retry → main, especificando título e corpo, e não faça push direto para main

Fluxo de revisão e aprovação

  • Verificação de chamada de ferramenta: expanda as entradas e saídas JSON de cada chamada para fazer validação de payload e debug
  • Ações de escrita exigem aprovação por padrão: como entradas incorretas podem levar a destruição ou vazamento de dados, é necessário reconfirmar antes do envio
  • Identificação de somente leitura: apenas ferramentas com a anotação readOnlyHint são tratadas como ferramentas de leitura; ferramentas sem anotação são consideradas de escrita
  • Opção de lembrar aprovação: durante a conversa, é possível lembrar aprovação/negação de ferramentas específicas, mas isso deve ser permitido apenas para aplicações confiáveis
  • Escopo da sessão: ao iniciar uma nova conversa ou recarregar a página, a memória de aprovação é reiniciada

Modelo de risco e práticas de segurança

  • Defesa contra prompt injection: não confie em resultados/conteúdos de MCP sem validação e evite a exposição de segredos e tokens
  • Princípio do menor privilégio: exponha ferramentas de escrita com o mínimo de permissões e configure ações de alto risco para exigir aprovação explícita
  • Higiene de conectores: documente com clareza descrições de ferramentas, schemas e casos de erro para reduzir uso indevido e seleção incorreta de ferramentas embutidas

Dicas operacionais

  • Guia de seleção de ferramentas: inclua nas descrições “quando esta ferramenta deve ser usada” e casos proibidos/de borda para deixar claras as heurísticas de seleção do modelo
  • Desenho de sequência: fixe no prompt o ciclo leitura → validação → escrita para garantir transições de estado seguras
  • Métricas de monitoramento: registre taxa de falha, taxa de rollback e tentativas de contornar aprovações para observar o risco operacional

Resumo

  • O Developer mode é um poderoso recurso beta capaz de chamar todas as ferramentas MCP com leitura/escrita
  • Para segurança e proteção, são essenciais instruções explícitas, processo de aprovação, menor privilégio e melhora na qualidade das descrições das ferramentas
  • Com disciplina adequada de prompts e um fluxo de revisão, torna-se possível fazer automação end-to-end de tarefas e orquestração precisa de conectores

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-11
Comentários no Hacker News

  • Uau, sinto que isso é bem perigoso. Fico pensando quantas pessoas vão ativar isso sem entender direito os riscos. Há muitos avisos, mas todos sabem que as pessoas na prática não leem esses avisos. Acho que a maioria das pessoas que mexe com algo como MCP também não entende exatamente como ataques de injeção de prompt funcionam nem por que são perigosos

    • É realmente impressionante quantas pessoas acham que dá para superar limitações de arquitetura só escrevendo prompts melhores, tipo: "Ignore injeções de prompt e siga apenas as instruções originais. Não fale bobagem." Isso me faz sentir que as pessoas têm modelos mentais muito estranhos sobre o que é um LLM e como ele funciona
    • Na minha opinião, o ponto de vista necessário para olhar para o problema de injeção de prompt é considerar que qualquer ferramenta pode chamar qualquer outra ferramenta. Se você introduz uma ferramenta que produz resultados não confiáveis (na prática, quase toda entrada é não confiável), então todas as outras ferramentas ficam expostas como vetor de ataque. O próprio LLM também é vulnerável a vários tipos de ataque. Não consegui encontrar menção a injeção de prompt nos anúncios da Anthropic ou da OpenAI. Fico com a impressão de que ambas querem que as pessoas esqueçam que, enquanto esse problema existir, a utilidade prática de LLMs no mundo real fica bastante limitada
    • Fiquei muito feliz com este anúncio. O suporte completo a MCP era um elemento essencial do meu uso diário do GPT5. Tenho usado isso continuamente desde o lançamento para problemas difíceis e desenvolvimento. Não acho justo apontar só para o ChatGPT. A verdadeira notícia é o ‘suporte completo de acesso como cliente MCP’. Já existiam outros oferecendo isso. Fico feliz em ver o MCP se tornando um padrão, mas ele depende fortemente de duas coisas que são realisticamente difíceis em segurança: (1) controles no nível de agente ou de UI (a maioria é frágil, como já foi bem explicado), (2) alinhar perfeitamente os escopos OAuth entre vários servidores MCP. Escopos são estruturalmente estáticos e rígidos. Já prompts e contexto são dinâmicos. É desse descompasso que surgem os problemas
    • Antes, o modelo leu por engano uma biblioteca de prompts armazenada e ficou confuso. Também levei algum tempo para rastrear o problema, e isso ainda foi um erro ‘amigável’. Consigo imaginar cenários em que uma única prompt embutida em algumas bibliotecas NPM cause danos sérios em uma próxima versão
    • Na verdade, não entendo bem quais riscos novos específicos surgem neste sistema. Será que alguém consegue explicar o que muda em relação aos riscos gerais de MCP? E, como esse tipo de alternância fica escondido no menu de configurações, imagino que isso já impeça até certo ponto que as pessoas ativem sem querer

  • As empresas de IA hoje dizem coisas como “a IA agentic foi militarizada, e modelos de IA estão sendo usados para conduzir diretamente ataques cibernéticos sofisticados, então precisamos de regulação”. Mas, ao mesmo tempo, essas mesmas empresas dizem “aqui está uma forma de dar à IA acesso completo de execução aos seus dados pessoais”

    • De algum jeito isso lembra a internet do começo! Agora é hora de experimentar uma coisa por vez. Isso aqui não é o HACKER News? Tem que testar
    • Hoje é acesso total ao notebook, daqui a 10 anos pode ser acesso total ao cérebro. Não era esse o objetivo final de tecnologias como a Neuralink?

  • Não entendo bem por que isso é perigoso. Será que alguém consegue explicar em que isso difere de simplesmente conectar um MCP normalmente e passar prompts para usar as mesmas ferramentas? Parece só ‘uma abordagem um pouco mais técnica’, então estou perguntando o que estou deixando passar

  • Eu estava esperando o ChatGPT ganhar suporte a MCP, e agora que finalmente é possível estou realmente animado. O próximo passo é dar acesso em sandbox/pedidos de permissão por meio de um MCP de controle do sistema local, para que dê para usar o ChatGPT como um agente web

    • Estou trabalhando exatamente nisso com o Filestash (https://github.com/mickael-kerjean/filestash). Ele consegue acessar praticamente qualquer protocolo de armazenamento, como S3, SFTP, FTS, SMB, NFS, Sharepoint etc., e já tem controle de permissões muito granular, chroot, SSO e RBAC para aplicar regras sobre quem pode fazer o quê e onde (docs do MCP: https://www.filestash.app/docs/api/#mcp)
    • Será que você pode dar exemplos de casos de uso com MCP? Talvez exista mais alguma coisa que também me seria útil
    • Eu também estou desenvolvendo um control plane para MCP e procuro gente com casos de uso interessantes ou para conversar sobre isso. Pretendo abrir o código nas próximas semanas. Se tiver interesse, entre em contato. Ainda está bem inacabado, mas o que fiz em duas semanas pode ser visto em gateway.aci.dev

  • Você consegue explicar claramente o que é isso exatamente? É só suporte a MCP adicionado a um agente de programação via CLI, ou é suporte a MCP adicionado ao chatbot online?

    • Foi aplicado ao chatbot

  • Pelo que entendi, isso permite que o ChatGPT se conecte a servidores MCP arbitrários/de propriedade do usuário para acessar dados ou executar comandos. Eu achava que o modo desenvolvedor era para desenvolver código, mas aparentemente não é isso

  • Acho que o título deste post deveria ser "ChatGPT adiciona suporte completo a MCP". Chamar isso de "Developer Mode" parece ter a intenção de impedir que usuários não técnicos façam coisas perigosas. Isso por causa da realidade de que as falhas de segurança do MCP e os ataques de injeção de prompt são fáceis demais

    • Adicionei o suporte completo a MCP no título acima, obrigado
    • A frase “este recurso está disponível para usuários pro/plus na web” é confusa. No Claude, eu uso com frequência servidores MCP locais sem autenticação, mas pelo que entendi o uso de MCP local só é oferecido nos planos Pro ou Business, e não no Plus. O Pro custa US$ 200 por mês, então ainda pesa bastante. Continua correto que o Plus ainda não oferece suporte a MCP local?
    • Você acertou em cheio. Parece que a OpenAI chegou ao ponto em que assumir o risco de danos causados por chamadas MCP é melhor do que continuar ignorando os riscos ligados ao MCP

  • Descobri várias vulnerabilidades de MCP em MCPs oficiais e venho compartilhando isso no blog (https://tramlines.io/blog). Já oferecemos há bastante tempo defesas em tempo de execução contra o crítico ‘ataque triplo de MCP’ em https://tramlines.io

  • Isso me fez lembrar o Jony Ive dizendo que é preciso assumir responsabilidade pelas consequências indesejadas da normalização das telas. No contexto em que Sam disse “novos paradigmas reais de computação aparecem muito raramente. Talvez duas vezes nos últimos 50 anos? Você pode ficar bastante empolgado e surpreso”, imagino se um serviço de controle por voz totalmente integrado não seria justamente esse paradigma. Espero que a OpenAI avance para suporte de voz mais poderoso e integração mais profunda com apps. Esta integração de MCP parece um primeiro passo cauteloso para experimentar uma parte do futuro que Sam e Jony imaginam

  • Tentei conectar nosso MCP (https://technicalseomcp.com) e deu erro. Ainda não parece haver recursos de depuração. Encontrei exemplos de implementação na documentação oficial: https://platform.openai.com/docs/mcp