Una auditoría de seguridad publicada por OX Security ha revelado una vulnerabilidad arquitectónica crítica en el Model Context Protocol (MCP), el protocolo abierto desarrollado por Anthropic para conectar agentes de inteligencia artificial con herramientas locales. Según el estudio, aproximadamente 200.000 servidores que utilizan MCP están expuestos a ejecución remota de comandos del sistema operativo sin ningún tipo de validación ni barrera de seguridad.

El problema reside en el transporte STDIO de MCP, que es el método predeterminado para conectar agentes de IA con herramientas locales. Este transporte ejecuta cualquier comando del sistema operativo sin sanitización de entrada y sin límite de ejecución entre la configuración y el comando en sí. Los comandos maliciosos generan errores únicamente después de que la ejecución ya se ha completado.

La investigación identificó seis plataformas de producción explotadas y más de diez vulnerabilidades de alta criticidad. Entre las familias de explotación descubiertas se encuentran la inyección de comandos a través de interfaces web de marcos de trabajo de IA, el bypass de listas de permisos mediante inyección de argumentos, la inyección de prompts de zero-click a través de archivos de configuración modificados por HTML malicioso, y la publicación de paquetes maliciosos en registros públicos, de los cuales nueve de once los aceptaron sin revisión de seguridad.

Merritt Baer, directora de seguridad de Enkrypt AI y exsubdirectora de seguridad de la información en AWS, señaló que MCP se está distribuyendo con el mismo error que se ha visto en cada lanzamiento importante de protocolos: valores predeterminados inseguros. Por su parte, Anthropic defendió la arquitectura argumentando que STDIO es un transporte de subproceso local y que restringirlo rompería el propósito del transporte.

Ningún parche publicado hasta la fecha modifica el comportamiento del protocolo STDIO de MCP. Las correcciones se han limitado a puntos de entrada específicos de cada producto.