O que é um ataque SSRF no contexto da IA?

O Server-Side Request Forgery (SSRF) ocorre quando um agente de IA é manipulado para fazer solicitações de rede não autorizadas do servidor onde está hospedado, expondo potencialmente redes privadas internas ou metadados da nuvem.

Como a Vinkius protege contra SSRF?

O Vinkius roteia todo tráfego de saída através de um proxy seguro ('safeFetch'). Ele impede acesso a intervalos de IP loopback, locais (Classe A/B/C) e metadados de cloud.

O que é DNS Pinning?

DNS Pinning resolve o host para um IP antes que a solicitação seja feita, forçando o cliente HTTP a conectar-se àquele IP exato. Isso impede ataques de rebinding DNS.

As redes privadas são bloqueadas por padrão?

Sim. Todos os deploys no Vinkius automaticamente bloqueiam solicitações direcionadas a redes privadas, endereços link-local e metadados internos AWS/GCP/Azure.

O que acontece com os pedidos pendentes se o cliente IA desconectar?

O Vinkius liga o ciclo de vida do TCP ao isolate. Se desconectar, um AbortController imediatamente termina todos os requests.

Posso auditar o código do proxy SSRF?

Sim! A lógica do safeFetch é inteiramente open-source e acessível dentro do Vurb.ts Framework no GitHub (SsrfGuard.ts).

Tráfego outbound. Validado.Redes privadas. Inalcançáveis.

Cada pedido outbound é DNS-resolved, IP-validated e pinned antes de sair. Redes privadas são fisicamente inalcançáveis — enforced por padrão, em cada deploy.

Começar com Google Começar com GitHub

Experimente grátis·Sem cartão de crédito

Caminho A

Traga sua REST API

Cole seu OpenAPI URL. A plataforma faz parse do spec, gera MCP tools, e faz proxy de cada chamada API através do safeFetch.

Seu backend fica intacto. Cada invocação de tool se torna uma chamada HTTP ao seu endpoint. A AI fala com o proxy, o proxy fala com sua API.

Caminho B

Deploy de handlers custom

Escreva handlers JavaScript e faça deploy do seu MCP server no edge. Roda dentro de um V8 isolate — zero acesso direto a sockets de rede.

O host bridge interceta chamadas fetch e liga um AbortController à conexão SSE. Se o SSE cair, cada pedido pendente morre.

Resolução DNS

dns.lookup(hostname)

Antes do pedido ser feito, o hostname é resolvido para um endereço IP. O IP — não o hostname — é o que é inspecionado a seguir.

Portão de IP Privado

isPrivateIP(resolvedIP)

O IP resolvido é comparado contra 9 padrões regex cobrindo loopback, Class A/B/C privado, link-local e ranges IPv6. Match encontrado → SSRF_BLOCKED.

IP Pinning

new Agent({ connect: { lookup } })

Um undici Agent custom com o IP resolvido hardcoded no callback de DNS lookup — prevenindo DNS rebinding. TLS/SNI funciona corretamente.

DNSResolução

Cada hostname resolvido antes da conexão. O IP resolvido é o que é validado — não o hostname. DNS rebinding é impossível.

EgressValidação

Redes privadas inalcançáveis. Endpoints de metadata cloud selados. Apenas IPs públicos passam pelo checkpoint.

TCP†Lifecycle

Conexão SSE cai — cada pedido outbound pendente morre. Cascata de AbortController. Zero conexões órfãs.

"O proxy é o teto. Excede-o, e o pedido morre."

Resposta Raw da API

"id": "usr_7f3a"

"email": "john@acme.co"

"passwordHash": "$2b$10$K8..."

"tenantId": "tenant_internal_9x"

"role": "admin"

Após Presenter + @vurb.hide

"id": "usr_7f3a"

"email": "john@acme.co"

"role": "admin"

passwordHash, tenantId → ausentes da resposta. Não editados. Não mascarados. Desaparecidos.

Schemas Zod definem o que sai. Campos não declarados são removidos em RAM antes da serialização. @vurb.hide remove campos ao nível da definição do schema — nunca existem no tipo de output.

Open Source

Lê cada linha.
Antes de confiares em nós.

Toda a camada de proteção egress do seu MCP server — open source, auditável, forkável.

SsrfGuard.tsTypeScript · Apache 2.0

Ver no GitHub

Construído sobre undici

Cliente HTTP nativo do Node.js. API Agent para override de DNS lookup e IP pinning. Zero dependências externas.

Validação determinística

9 padrões regex contra o IP resolvido. Mesmo input, mesmo output. Sem heurísticas ML, sem bloqueio probabilístico.

Totalmente open source

safeFetch, schemas Presenter, validação Zod, regras de governance. Apache 2.0. Fork, audita, corre localmente.

Deploy Agora

Cole seu API URL. O egress está tratado.

safeFetch é injetado no momento do deploy. Ambos os caminhos — API proxy e handlers custom — recebem o mesmo checkpoint. Nada para instalar, nada para configurar.

Começar com Google Começar com GitHub

Experimente grátis·Sem cartão de crédito

Plano gratuito · Sem cartão de crédito

Tráfego outbound. Validado.Redes privadas. Inalcançáveis.

Duas entradas. O mesmo checkpoint na saída.

Traga sua REST API

Deploy de handlers custom

Três verificações. Depois passas.

Resolução DNS

Portão de IP Privado

IP Pinning

Limites rígidos.

Egress não é só sobre endereços IP.

Lê cada linha.
Antes de confiares em nós.

Construído sobre undici

Validação determinística

Totalmente open source

Cole seu API URL. O egress está tratado.

Tráfego outbound. Validado.Redes privadas. Inalcançáveis.

Duas entradas. O mesmo checkpoint na saída.

Traga sua REST API

Deploy de handlers custom

Três verificações. Depois passas.

Resolução DNS

Portão de IP Privado

IP Pinning

Limites rígidos.

Egress não é só sobre endereços IP.

Lê cada linha.Antes de confiares em nós.

Construído sobre undici

Validação determinística

Totalmente open source

Cole seu API URL. O egress está tratado.

Lê cada linha.
Antes de confiares em nós.