¿Cumple su IA con la normativa? Regístrese hoy

Industria

No estás monitoreando los MCP. La vulnerabilidad de Anthropic demuestra por qué deberías hacerlo.

April 22, 2026

Roey Eliyahu
CEO & Co-founder

La semana pasada, investigadores de OX Security publicaron hallazgos que deberían alertar a todos los líderes de seguridad. Descubrieron una vulnerabilidad crítica integrada directamente en el SDK del Protocolo de Contexto del Modelo de Anthropic, que afecta a todos los lenguajes compatibles: Python, TypeScript, Java y Rust. El resultado: ejecución remota de código en cualquier sistema que ejecute una implementación vulnerable de MCP, con acceso directo a datos sensibles de usuarios, bases de datos internas, claves API e historiales de chat.

Más de 7.000 servidores de acceso público. Más de 150 millones de descargas. Diez CVE que abarcan LiteLLM, LangChain, LangFlow, Flowise y otros.

Esto no es un solo error que alguien olvidó parchear. Es una decisión de diseño que se propagó silenciosamente a cada biblioteca dependiente y a cada proyecto que confiaba en el protocolo. Anthropic revisó los hallazgos y calificó el comportamiento de "esperado".

Deja que esto cale hondo e imagina esto:

Un desarrollador de tu empresa implementa un agente basado en LangChain y lo conecta a un servidor MCP interno que tiene acceso a tu base de datos de clientes. El agente funciona según lo previsto: responde consultas, extrae registros, hace su trabajo. Ahora un atacante envía un prompt cuidadosamente elaborado a través de tu interfaz pública. Ese prompt manipula la configuración de MCP a través de lo que los investigadores llaman una inyección de prompt de cero clics, redirigiendo silenciosamente la interfaz STDIO para ejecutar un comando arbitrario del sistema operativo en el servidor. En segundos, el atacante tiene tus credenciales de base de datos, tus claves API internas y un shell activo en la máquina que ejecuta tu flujo de trabajo de agentes. No se requiere autenticación. No se dispararon alertas. Tu SIEM nunca lo vio porque la acción ocurrió en la capa MCP, que nadie estaba monitoreando.

Llevamos meses diciendo que los servidores MCP son la capa sin supervisión más peligrosa en tu infraestructura de agentes. Esto lo demuestra.

El problema no es el modelo. Nunca lo fue.

Cuando la mayoría de la gente piensa en la seguridad de la IA, piensa en el propio LLM. Inyección de prompts. Jailbreaks. Seguridad del modelo. Esas son preocupaciones reales, pero no es ahí donde reside tu mayor exposición en un entorno de agentes de producción.

Tus agentes no solo piensan. Actúan. Utilizan servidores MCP para conectarse a tus sistemas internos, bases de datos, API y aplicaciones SaaS. MCP son las manos de tu infraestructura de agentes. Y ahora mismo, para la mayoría de las organizaciones, esas manos son completamente invisibles para tu equipo de seguridad.

Una decisión arquitectónica, tomada una vez, abre la puerta a la ejecución remota de código en toda tu pila de agentes. No porque alguien escribiera código defectuoso. Sino porque el protocolo en sí nunca fue diseñado con la seguridad como principio fundamental.

Este es un problema de cadena de suministro, no un problema de parches.

Algunos de los proveedores afectados han emitido parches. La mayoría no lo ha hecho. Anthropic se ha negado a cambiar la arquitectura subyacente. Eso significa que cada desarrollador que hereda código MCP hereda el riesgo, lo sepa o no.

Este es el patrón que hemos visto repetirse en la seguridad de las API durante años. La vulnerabilidad no está en un solo lugar. Es estructural. Reside en las relaciones de confianza entre componentes, en los valores predeterminados que nadie cuestiona, en las interfaces que nadie monitorea. La única forma de abordarlo es con visibilidad en toda la superficie de ataque, no solo con soluciones puntuales para CVE individuales.

Lo que debes hacer ahora.

Si tu organización está implementando agentes de IA, necesitas respuestas a tres preguntas hoy:

  1. ¿Qué servidores MCP están funcionando en tu entorno y a qué tienen acceso? La mayoría de los equipos de seguridad no lo saben. Los servidores MCP conectan a los agentes con tus sistemas más sensibles, y se están implementando más rápido de lo que nadie puede rastrearlos.
  2. ¿Qué acciones pueden ejecutar esos servidores y con qué autoridad? La vulnerabilidad funciona precisamente porque la interfaz STDIO de MCP permite la ejecución arbitraria de comandos del sistema operativo con una autenticación mínima. Necesitas entender qué están autorizados a hacer tus agentes y monitorear lo que realmente hacen.
  3. ¿Dónde interactúa tu infraestructura agéntica con APIs externas? La ruta de la brecha en escenarios como este casi siempre termina en una API. Datos sensibles, claves de API, credenciales de bases de datos: estos son los objetivos, y las APIs son la forma en que se exfiltran.

En Salt, construimos el Grafo de Seguridad Agéntica específicamente para responder a estas preguntas. Es el único marco que proporciona a los equipos de seguridad visibilidad y control completos en las tres capas de la infraestructura agéntica: el LLM, los servidores MCP y las APIs a las que llaman. No porque predijéramos esta vulnerabilidad exacta, sino porque entendimos el problema estructural desde el principio.

La superficie de ataque de MCP ya no es teórica. Está en tu entorno ahora mismo, y está siendo investigada activamente por actores de amenazas que leen los mismos artículos de Hacker News que tus desarrolladores.

No puedes proteger lo que no puedes ver. Empieza por ahí.

salt.security/agentic-assessment

Blog de seguridad de Salt

Suscríbase al boletín de Salt para obtener los últimos recursos y publicaciones del blog.

Nuestras últimas publicaciones