Mannequin Context Protocol tiene un problema de seguridad que no desaparece.
Cuando VentureBeat informó por primera vez sobre las vulnerabilidades de MCP en octubre pasado, los datos ya eran alarmantes. La investigación de Pynt demostró que implementar solo 10 complementos MCP crea una probabilidad de explotación del 92% – con un riesgo significativo incluso con un solo complemento.
La falla principal no ha cambiado: MCP se envió sin autenticación obligatoria. Los marcos de autorización llegaron seis meses después de su implementación generalizada. Como dijo Merritt Baer, director de seguridad de Cifrar IAadvirtió en ese momento: “MCP presenta el mismo error que hemos visto en cada implementación de protocolo importante: valores predeterminados inseguros. Si no creamos autenticación y privilegios mínimos desde el primer día, estaremos limpiando las infracciones durante la próxima década”.
Tres meses después, la limpieza ya comenzó y es peor de lo esperado.
Garrabot Cambió el modelo de amenaza. El asistente private viral de IA que puede vaciar bandejas de entrada y escribir código durante la noche se ejecuta completamente en MCP. Cada desarrollador que puso en marcha un Clawdbot en un VPS sin leer los documentos de seguridad expuso a su empresa a toda la superficie de ataque del protocolo.
Itamar Golán lo vio venir. el vendio Seguridad inmediata a centinelauno por un valor estimado de 250 millones de dólares el año pasado. Esta semana, publicó una advertencia en X: “Se acerca el desastre. Miles de Clawdbots están activos ahora mismo en VPS… con puertos abiertos a Web… y sin autenticación. Esto se va a poner feo”.
No está exagerando. Cuando Knóstico Al escanear Web, encontraron 1.862 servidores MCP expuestos sin autenticación. Probaron 119. Todos los servidores respondieron sin requerir credenciales.
Cualquier cosa que Clawdbot pueda automatizar, los atacantes pueden convertirlo en un arma.
Tres CVE están exponiendo el mismo defecto arquitectónico
Las vulnerabilidades no son casos extremos. Son consecuencias directas de las decisiones de diseño de MCP. A continuación se ofrece una breve descripción de los flujos de trabajo que exponen cada uno de los siguientes CVE:
-
CVE-2025-49596 (CVSS 9.4): MCP Inspector de Anthropic expuso el acceso no autenticado entre su interfaz de usuario net y su servidor proxy, lo que permitió comprometer todo el sistema a través de una página net maliciosa.
-
CVE-2025-6514 (CVSS 9.6): la inyección de comandos en mcp-remote, un proxy OAuth con 437.000 descargas, permitió a los atacantes apoderarse de los sistemas conectándose a un servidor MCP malicioso.
-
CVE-2025-52882 (CVSS 8.8): Las extensiones populares de Claude Code exponían servidores WebSocket no autenticados, lo que permitía el acceso a archivos y la ejecución de código arbitrarios.
Tres vulnerabilidades críticas en seis meses. Tres vectores de ataque diferentes. Una de las causas principales: la autenticación de MCP siempre fue opcional y los desarrolladores trataron lo opcional como innecesario.
La superficie de ataque sigue expandiéndose
equixamente Recientemente analizó implementaciones de MCP populares y también encontró varias vulnerabilidades: el 43% contenía fallas de inyección de comandos, el 30% permitía la recuperación de URL sin restricciones y el 22% filtraba archivos fuera de los directorios previstos.
Jeff Pollard, analista de Forrester describió el riesgo en una publicación de blog: “Desde una perspectiva de seguridad, parece una forma muy eficaz de introducir un actor nuevo y muy poderoso en su entorno sin barreras de seguridad”.
Eso no es una exageración. Un servidor MCP con acceso de shell puede utilizarse como arma para el movimiento lateral, el robo de credenciales y la implementación de ransomware, todo ello provocado por una inyección rápida oculta en un documento que se le pidió a la IA que procesara.
Vulnerabilidades conocidas, correcciones diferidas
investigador de seguridad Johann Rehberger reveló una vulnerabilidad de exfiltración de archivos en octubre pasado. La inyección rápida podría engañar a los agentes de IA para que transmitan archivos confidenciales a las cuentas de los atacantes.
Anthropic lanzó Cowork este mes; expande los agentes basados en MCP a una audiencia más amplia y menos consciente de la seguridad. La misma vulnerabilidad, y esta vez es inmediatamente explotable. PromptArmor demostrado un documento malicioso que manipuló al agente para que cargara datos financieros confidenciales.
Guía de mitigación de Anthropic: los usuarios deben estar atentos a “acciones sospechosas que puedan indicar una inyección rápida”.
Olivia Moore, socia de a16z, pasó un fin de semana usando Clawdbot y capturó la desconexión: “Le estás dando acceso a tus cuentas a un agente de IA. Puede leer tus mensajes, enviar mensajes de texto en tu nombre, acceder a tus archivos y ejecutar código en tu máquina. Necesitas entender realmente lo que estás autorizando”.
La mayoría de los usuarios no lo hacen. La mayoría de los desarrolladores tampoco lo hacen. Y el diseño de MCP nunca los exigió.
Cinco acciones para los líderes de seguridad
-
Haga un inventario de su exposición a MCP ahora. La detección de puntos finales tradicional ve procesos de nodo o Python iniciados por aplicaciones legítimas. No los marca como amenazas. Necesita herramientas que identifiquen específicamente los servidores MCP.
-
Trate la autenticación como obligatoria. La especificación MCP recomienda OAuth 2.1. El SDK no incluye autenticación integrada. Cada servidor MCP que toca los sistemas de producción necesita que se aplique la autenticación en el momento de la implementación, no después del incidente.
-
Restringir la exposición a la pink. Vincule los servidores MCP al host native a menos que se requiera y autentique explícitamente el acceso remoto. Los 1.862 servidores expuestos que encontró Knostic sugieren que la mayoría de las exposiciones son accidentales.
-
Supongamos que se avecinan ataques de inyección rápida y que tendrán éxito. Los servidores MCP heredan el radio de explosión de las herramientas que envuelven. ¿El servidor envuelve credenciales de nube, sistemas de archivos o canalizaciones de implementación? Diseñe controles de acceso asumiendo que el agente se verá comprometido.
-
Forzar la aprobación humana para acciones de alto riesgo. Exija una confirmación explícita antes de que los agentes envíen correos electrónicos externos, eliminen datos o accedan a información confidencial. Trate al agente como un empleado junior rápido pero literal que hará exactamente lo que usted diga, incluidas las cosas que no quiso decir.
La brecha de gobernanza está muy abierta
Los proveedores de seguridad actuaron temprano para monetizar el riesgo de MCP, pero la mayoría de las empresas no lo hicieron tan rápido.
La adopción de Clawdbot se disparó en el cuarto trimestre de 2025. La mayoría de las hojas de ruta de seguridad para 2026 no tienen controles de agentes de IA. La brecha entre el entusiasmo de los desarrolladores y la gobernanza de la seguridad se mide en meses. La ventana para los atacantes está abierta de par en par.
Golán tiene razón. Esto se va a poner feo. La pregunta es si las organizaciones asegurarán su exposición a MCP antes de que alguien más la explote.
