Fallo de diseño en MCP de Anthropic permite RCE en 200,000 servidores — 150M de descargas afectadas

El equipo de investigación de OX Security descubrió una vulnerabilidad crítica y sistémica en el Model Context Protocol (MCP) de Anthropic, el estándar de la industria para la comunicación entre agentes de IA que permite ejecución remota de comandos (RCE) en cualquier sistema que ejecute una implementación vulnerable del protocolo.

El fallo, que no proviene de un error de programación tradicional sino de una decisión de diseño arquitectónico, expone hasta 200,000 servidores y más de 150 millones de descargas a una toma de control completa. Los atacantes pueden acceder a datos sensibles de usuarios, bases de datos internas, claves API e historiales de chat sin requerir interacción del usuario en varios escenarios.

La vulnerabilidad reside en cómo el protocolo MCP gestiona las configuraciones de servidores locales a través de su interfaz de transporte STDIO (Standard Input/Output). Cuando un desarrollador o asistente de IA añade un nuevo servidor MCP, pasa una cadena de comando a la interfaz STDIO. El problema arquitectónico es que el comando se ejecuta a nivel del sistema operativo sin ninguna sanitización, validación o advertencia de modo peligroso. Un atacante puede inyectar un comando malicioso, como un reverse shell en un campo de configuración MCP, y aunque el comando falle al establecer una conexión válida y devuelva un error al usuario, el daño ya estará hecho: el comando se habrá ejecutado con los privilegios del proceso subyacente.

Los investigadores identificaron cuatro familias distintas de explotación documentadas en el reporte técnico de OX Security.

1. La inyección de interfaz de usuario no autenticada en frameworks de IA populares.
2. La segunda involucra bypasses de endurecimiento de seguridad en entornos supuestamente protegidos como Flowise.
3. La inyección de prompts de "cero clics" en IDEs de IA líderes como Windsurf y Cursor, donde un atacante puede lograr RCE local sin que la víctima realice ninguna acción.
4. La distribución maliciosa a través de marketplaces: los investigadores lograron "envenenar" 9 de 11 registros MCP probados con payloads de prueba que se publicaron sin revisión de seguridad. Esto incluye directorios populares como LobeHub y Cursor Directory, demostrando la facilidad con que un atacante real podría distribuir código malicioso a escala global.

El alcance del impacto es sin precedentes para el sector de IA emergente. OX Security confirmó ejecución exitosa de comandos en seis plataformas de producción activa, e identificó vulnerabilidades críticas en herramientas omnipresentes como LiteLLM, LangChain y LangFlow de IBM. La investigación produjo al menos 10 CVEs que abarcan múltiples proyectos de alto perfil. Entre los más graves: CVE-2026-30615 para Windsurf (inyección de prompt de cero clics que conduce a RCE local, actualmente en estado "reportado"), CVE-2026-30623 para LiteLLM (RCE autenticado vía configuración JSON, ya parcheado), CVE-2026-33224 para Bisheng (inyección de UI autenticada, parcheado), y CVE-2025-65720 para GPT Researcher (reverse shell vía inyección de UI, crítico y reportado).

Otros productos como Agent Zero, Fay Framework, LangChain-Chatchat, Jaaz, Upsonic y DocsGPT también presentan vulnerabilidades documentadas con severidades que van de alta a crítica.

La respuesta de Anthropic ha generado controversia significativa en la comunidad de seguridad. Según la investigación, los expertos recomendaron repetidamente parches a nivel raíz del protocolo que habrían protegido instantáneamente a millones de usuarios downstream. Anthropic declinó modificar la arquitectura del protocolo, calificando el comportamiento como "esperado" y trasladando la responsabilidad de sanitizar entradas completamente a los desarrolladores que implementan MCP. Esta postura contrasta con el lanzamiento reciente de Claude Mythos, una herramienta presentada para ayudar a asegurar el software del mundo. Los investigadores señalan que "transferir la responsabilidad a los implementadores no transfiere el riesgo — solo oscurece quién lo creó".

Las organizaciones que utilizan servicios habilitados para MCP deben actuar de inmediato para reducir su exposición mientras el problema raíz permanece sin resolver a nivel de protocolo. Se recomienda bloquear el acceso público a internet para servicios sensibles conectados a APIs y bases de datos, tratar todas las entradas de configuración MCP externas como no confiables, restringiendo o bloqueando completamente la entrada controlada por usuarios a parámetros STDIO, instalar servidores MCP únicamente de fuentes verificadas como el registro oficial de GitHub MCP Registry, ejecutar servicios MCP dentro de sandboxes con permisos mínimos restringidos y monitorear de cerca las invocaciones de herramientas en busca de actividad inusual en segundo plano o intentos de exfiltración de datos.