En un protocolo conocido de inteligencia artificial se ha descubierto una vulnerabilidad crítica, y la empresa Anthropic afirmó que no se ocupará de corregirla

La amenaza cibernética en el protocolo MCP: cómo se ve y qué hacer

¿Cómo aparece? Origen de la vulnerabilidad Investigadores de OX Security encontraron un defecto arquitectónico en el Protocolo de Contexto del Modelo (MCP). SDK afectados Bibliotecas oficiales para Python, TypeScript, Java y Rust. Alcance del riesgo Más de 150 millones de descargas y hasta 200 mil instancias de servidor usan estos SDK. Respuesta de Anthropic La empresa afirmó que el protocolo “se comporta como se espera” y no requiere cambios.

¿Qué es MCP?
- Estándar abierto presentado por Anthropic en 2024.
- Permite a los modelos de IA conectarse a herramientas externas, bases de datos y API.
- El año pasado el protocolo fue transferido a la Agentic AI Foundation bajo la Linux Foundation; ahora lo usan OpenAI, Google y la mayoría de las herramientas de IA.

Cómo funciona la vulnerabilidad
1. Interfaz STDIO
- Las solicitudes se envían directamente al punto de ejecución sin verificación adicional.
2. Herencia del riesgo
- Cualquier desarrollador que use MCP adquiere automáticamente esta debilidad.

Posibles vías de explotación (4 familias)
N.º Tipo de ataque Qué hace el atacante
1 Inyección de código en UI sin autorización Escribe código malicioso que se ejecuta automáticamente.
2 Elusión de protección en plataformas “seguras” (Flowise) Usa la vulnerabilidad para evadir mecanismos internos de seguridad.
3 Solicitudes maliciosas en entornos IDE (Windsurf, Cursor) Ejecuta comandos sin intervención del usuario.
4 Difusión de paquetes maliciosos a través de MCP Publica código malicioso que se descarga automáticamente por otros usuarios.
- Pruebas: los investigadores lograron inyectar payloads en 9 de 11 registros MCP y demostraron la ejecución de comandos en seis plataformas comerciales.

Vulnerabilidades adicionales encontradas
Aplicación CVE Estado LiteLLM CVE‑2026‑30623 Cerrada Bisheng CVE‑2026‑33224 Cerrada Windsurf CVE‑2026‑30615 “Mensaje recibido” (ejecución local de código) GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT – mismo estado

Cómo responde Anthropic
- Recomendaciones de OX Security:
- Limitar las solicitudes solo al manifiesto.
- Introducir una lista de comandos permitidos en el SDK.
- Respuesta de la empresa: rechazo a cambios y ausencia de objeciones a la publicación de la vulnerabilidad.

Qué está pasando ahora
Evento Estado actual Filtración del modelo Mythos Anthropic lleva a cabo una investigación interna. Salida de código Claude Code Se produjo previamente una filtración del código fuente del servicio. Gestión MCP Transferida a Linux Foundation, pero Anthropic sigue manteniendo el SDK vulnerable.

¿Qué deben hacer los desarrolladores?
- Hasta que la interfaz STDIO no se modifique, es necesario implementar filtrado de datos de entrada por cuenta propia.
- Verificar versiones del SDK y actualizarlas con los últimos parches disponibles.
- Considerar la implementación de mecanismos propios de verificación de comandos y restricciones a nivel de aplicación.

En resumen: La vulnerabilidad en MCP representa una amenaza seria para millones de usuarios. A pesar del rechazo de Anthropic a modificar el protocolo, los desarrolladores deben tomar medidas de protección hasta que se publiquen correcciones oficiales.