A OpenAI lança o MCP Tunnel, com o ChatGPT a aceder à rede interna da empresa através de uma firewall sem configuração

A OpenAI anunciou, a 27 de maio, o lançamento do serviço Secure MCP Tunnel, permitindo que o ChatGPT, o Codex e a Responses API se liguem diretamente a servidores privados MCP na rede interna das empresas. O suporte oficial da OpenAI permite que as empresas implementem um conjunto de servidores MCP, que podem ser acedidos tanto pelo ChatGPT como pelos sistemas da Claude.

Arquitetura de ligação inversa: como o tunnel-client estabelece ligação a partir da rede interna

O componente central do Secure MCP Tunnel é o tunnel-client, implementado num anfitrião na rede interna que consegue aceder ao servidor privado MCP. O tunnel-client estabelece ativamente ligação externa via HTTPS ao plano de controlo da OpenAI (api.openai.com:443 ou mtls.api.openai.com:443) e, através de long polling, obtém os pedidos MCP em fila no lado da OpenAI, encaminhando-os no formato JSON-RPC para o servidor MCP na rede interna, enquanto as respostas regressam pela mesma ligação. Toda a arquitetura dispensa a abertura de quaisquer portas de entrada no firewall e elimina a necessidade de configurar escuta em rede pública para o servidor MCP.

As opções de segurança empresariais suportadas incluem: proxy de saída (outbound proxy), bundle de CA personalizado, mTLS no plano de controlo e mTLS no lado do MCP; a autenticação de identidade é feita através de API key em tempo de execução, mantendo as permissões existentes da organização e do workspace.

Três modos de implementação

As opções de implementação do tunnel-client listadas pela documentação oficial da OpenAI:

Kubernetes sidecar: com o servidor MCP no mesmo Pod

Deployment Kubernetes independente: execução em Pod separado

VM ou serviço systemd: implementação diretamente no anfitrião

Estado do protocolo MCP: o mesmo servidor de rede interna empresarial para ChatGPT e Claude

O MCP, liderado pela Anthropic, foi lançado como um protocolo de código aberto com suporte nativo no sistema da Claude. A ligação oficial da OpenAI significa que as empresas só precisam de implementar um único servidor MCP, que fica acessível em simultâneo pelo ChatGPT e pelos sistemas da Claude, sem necessidade de manter camadas de integração de ferramentas separadas para diferentes plataformas de IA. A Robinhood, no mesmo dia, utilizou o MCP para abrir encomendas de agentes de IA, um exemplo concreto da expansão do MCP desde ferramentas para programadores até ao setor financeiro.

Perguntas frequentes

Como é que o Secure MCP Tunnel estabelece ligação sem abrir portas de entrada no firewall?

O tunnel-client é implementado na rede interna da empresa e estabelece ativamente, via HTTPS, uma ligação ao plano de controlo da OpenAI, recebendo continuamente pedidos através de long polling e encaminhando-os para o servidor MCP na rede interna. Como todas as ligações são iniciadas de forma ativa pela rede interna para o exterior, não é necessário abrir quaisquer portas de ligação de entrada no firewall.

Que produtos da OpenAI são suportados atualmente pelo Secure MCP Tunnel?

De acordo com a documentação para programadores da OpenAI, atualmente são suportados o ChatGPT (selecionando um servidor MCP privado nas definições do connector), o Codex e a Responses API.

O que é o protocolo MCP e por que razão a OpenAI o integra de forma relevante para a indústria?

O MCP (Model Context Protocol) é um protocolo de código aberto lançado pela Anthropic, que permite que os modelos de IA invoquem ferramentas e fontes de dados externas de forma padronizada. O suporte oficial da OpenAI significa que as empresas podem implementar um único servidor MCP, ao mesmo tempo acessível por várias plataformas de IA, reduzindo os custos de integração entre plataformas.