Vulnerabilidad en el protocolo MCP de Anthropic: Por qué la empresa ignora la RCE en su pila
Los investigadores de OX Security han descubierto una vulnerabilidad crítica en el Protocolo de Contexto del Modelo (MCP) de Anthropic que permite la ejecución remota de código (RCE) mediante servidores locales. A pesar de más de 30 rondas de divulgación responsable desde noviembre de 2025, Anthropic se ha negado a implementar cambios arquitectónicos, considerando el comportamiento «esperado». Mientras tanto, la empresa promueve activamente sus modelos de IA como herramientas para detectar vulnerabilidades en proyectos de terceros.
Defecto arquitectónico en el núcleo del MCP
El protocolo MCP está diseñado para la interacción entre agentes de IA y herramientas externas mediante el lanzamiento de subprocesos locales. El problema surge durante el procesamiento de comandos: en lugar de validar estrictamente la ruta del ejecutable, el protocolo acepta cualquier cadena como comando. Si el comando tiene éxito y abre un puerto, el sistema lo considera válido. Si no, devuelve un error, pero el comando ya se ha ejecutado. Esto permite la ejecución arbitraria de código en la máquina host sin más verificaciones.
La vulnerabilidad afecta a todos los SDK oficiales de Anthropic: Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP y Rust. Cualquier desarrollador que use MCP hereda automáticamente este riesgo. OX Security estima que hasta 200.000 servidores y un ecosistema con más de 150 millones de descargas de SDK están expuestos.
Cuatro vectores de ataque
El equipo de OX identificó cuatro formas principales de explotar la vulnerabilidad:
- Acceso directo vía interfaz web —la falta de autenticación y filtrado permite a los atacantes ejecutar comandos arbitrarios a través de las interfaces de LangFlow (IBM) y GPT Researcher.
- Evadir listas blancas —incluso si solo se permiten utilidades seguras (p. ej.,
npx), los atacantes pueden inyectar malware mediante argumentos de comando. Upsonic y Flowise son vulnerables. - Editores de código con IA —herramientas como Cursor, Windsurf, Claude Code, Gemini-CLI y GitHub Copilot pueden aplicar automáticamente configuraciones que contienen exploits. Se emitió un CVE solo para Windsurf; otros proveedores, incluidos Google y Microsoft, han rechazado reconocer el problema.
- Paquetes maliciosos en catálogos MCP —los investigadores subieron paquetes de exploits a 9 de 11 mercados públicos. Solo el registro gestionado de GitHub rechazó la sumisión.
Dobles estándares en seguridad
Anthropic posiciona su modelo Claude Opus 4.6 como líder en detección de vulnerabilidades: según la empresa, descubrió más de 500 errores desconocidos previamente en bibliotecas de código abierto populares. En abril de 2026, se lanzó Project Glasswing con el modelo aún más potente Mythos, que detecta zero-days en el kernel de Linux, FreeBSD, OpenBSD, FFmpeg y navegadores principales.
Sin embargo, en medio de estas afirmaciones, la empresa ignora su propia falla crítica. Tras el informe inicial de OX Security, Anthropic solo añadió una advertencia en su archivo SECURITY.md: «Los adaptadores STDIO deben usarse con precaución». Los investigadores argumentan que esto no aborda el problema arquitectónico.
Recomendaciones y estado actual
Hasta que llegue un parche oficial, OX Security recomienda:
- No exponer servicios MCP públicamente;
- Validar estrictamente todas las configuraciones y comandos entrantes;
- Ejecutar procesos MCP en entornos aislados con privilegios mínimos (p. ej., mediante gVisor o Firecracker).
Varios proyectos ya han lanzado sus propias correcciones: LiteLLM, DocsGPT, Flowise y Bisheng. Sin embargo, plataformas como LangFlow, Agent Zero y Fay Framework siguen siendo vulnerables. Anthropic sigue insistiendo en que el protocolo se comporta como está previsto y no tiene planes de cambios.
Puntos clave
- La vulnerabilidad de MCP permite RCE mediante ejecución de comandos no controlada al lanzar servidores locales.
- Todos los SDK oficiales de Anthropic están afectados: es un problema sistémico, no aislado.
- Anthropic rechazó correcciones arquitectónicas a pesar de más de 30 rondas de divulgación responsable.
- La empresa promueve la IA para encontrar vulnerabilidades ajenas mientras ignora las suyas.
- Los desarrolladores deben aislar procesos MCP y evitar confiar en configuraciones externas.
— Editorial Team
Aún no hay comentarios.