El protocolo de contexto del modelo (MCP), una tecnología clave para los agentes de IA adoptados por gigantes como OpenAi, Microsoft y AWS, contiene vulnerabilidades de seguridad críticas, revela un nuevo informe. Publicado por la firma de seguridad Back-stasina Security, la investigación detalla fallas como”vecino Jack”, que expone servidores en redes locales.
También encontró riesgos de inyección de SO que podrían permitir que los atacantes controlen los sistemas de host. El uso generalizado del protocolo crea una nueva superficie de ataque significativa para todo el ecosistema de IA de agente. En respuesta, BackShash ha lanzado un centro de seguridad público para ayudar a los desarrolladores a evaluar el riesgo.
Esta noticia destaca un desafío urgente para la industria de IA de rápido crecimiento, que ha adoptado rápidamente MCP como un estándar para la interoperabilidad de la agente.
un protocolo universal se encuentra con una falla crítica
El modelo de contexto del modelo primero emergió en noviembre de 2024, se encuentra con una falla crítica
el modelo de contexto del modelo emergido en noviembre de 2024, se encuentra con una falla crítica
Desarrollo de IA. Como Anthrope explicó en ese momento,”cada nueva fuente de datos requiere su propia implementación personalizada, lo que hace que los sistemas verdaderamente conectados sean difíciles de escalar”. El objetivo era crear un lenguaje universal para que los modelos de IA se conecten con herramientas externas, reemplazando las integraciones a medida.
La idea fue un éxito rotundo. En cuestión de meses, los actores más grandes de la industria, incluidos Microsoft para Azure AI, AWS con sus propios servidores de código abierto y OpenAI, anunciaron apoyo. El CEO de Google Deepmind, Demis Hassabis lo elogió, afirmando:”MCP es un buen protocolo y se está convirtiendo rápidamente en un estándar abierto para la era de AI Agentic”.
Pero esta estandarización rápida, al tiempo que aumenta el desarrollo, ahora ha expuesto una base compartida y frágil. El informe de seguridad de Backslash , que analizó miles de servidores MCP disponibles públicamente, encontró que un número inicial era peligroso o incorrecto mal construido.
“vecina”y el riesgo de una”combinación tóxica”
La debilidad más común, que se encuentra en cientos de casos, ha sido denominada”vecino”. Según el informe, estos servidores MCP vulnerables se unieron explícitamente a todas las interfaces de red (0.0.0.0). Esta configuración errónea simple pero crítica los convierte en”servidores MCP que estaban explícitamente vinculados a todas las interfaces de red (0.0.0.0), lo que los hace accesibles para cualquier persona en la misma red local”., Como señalan la seguridad de inverso de transferencia.
Esto esto abre la puerta a cualquier persona de un compañero de trabajo en una oficina compartida a un atacante en una red de Wi-Fi para acceder y potencialmente manipular el servidor MCP. La segunda vulnerabilidad principal implica”permisos excesivos e inyección de OS”.
Se encontraron docenas de servidores para permitir la ejecución de comandos arbitrarios en la máquina host. Esta falla proviene de las prácticas de codificación descuidadas, como la falta de desinfección de entrada al pasar comandos a un shell del sistema. El riesgo del mundo real es severo.
Como la seguridad de barra de inactividad declarada en sus hallazgos:”El servidor MCP puede acceder al host que ejecuta el MCP y potencialmente permitir que un usuario remoto controle su sistema operativo”. Los investigadores advierten que cuando estos dos defectos están presentes en el mismo servidor, el resultado es una”combinación tóxica crítica”. El informe advierte:”Cuando la exposición a la red cumple con los permisos excesivos, obtienes la tormenta perfecta”, lo que permite que un actor malicioso tome el control total del anfitrión.
un punto ciego de toda la industria y advertencias anteriores
Las implicaciones de seguridad son amplificadas por el Swift y la amplia adopción de MCP. El protocolo se está integrando profundamente en los flujos de trabajo del desarrollador, desde el código VS de Microsoft hasta la API de respuestas de OpenAI. Esta integración generalizada significa que una vulnerabilidad en el protocolo no es un problema aislado sino un riesgo sistémico.
Inquietamente, esta no es la primera bandera roja con respecto a la arquitectura de seguridad de MCP. En mayo, la firma de seguridad Invariant Labs descubrió una vulnerabilidad crítica en el popular servidor MCP de Github. Apodado el”flujo de agente tóxico”, el exploit permitió que un agente de IA fuera engañado para filtrar datos de repositorio privado.
El ataque funcionó plantando instrucciones maliciosas en un problema público de Github, que el agente ejecutaría. Technology analyst Simon Willison analyzed the exploit, calling the situation “a lethal trifecta for prompt injection: the AI agent has access to private data, is exposed to malicious instructions, and can exfiltrate información.”Este incidente anterior destacó que la forma en que los agentes interactúan con los datos no confiables es un punto débil fundamental.
Estas advertencias repetidas sugieren que la carrera de la industria para construir agentes poderosos y autónomos ha superado el desarrollo de los sólidos marcos de seguridad necesarios para controlarlos. The focus has been on capability, not necessarily on the security of the connective tissue.
Mitigation Efforts and the MCP Security Hub
In response to its findings, Backslash Security has taken a proactive step by launching the MCP Server Security Centro . Esta plataforma es la primera base de datos de seguridad de búsqueda pública dedicada a los servidores MCP, que los califica en función de su postura de riesgo y que detalla potenciales debilidades.
