El protocolo MCP revela una vulnerabilidad RCE a nivel de diseño, Anthropic se niega a modificar la arquitectura

Noticias ME News, 21 de abril (UTC+8), según la monitorización de Beating, la compañía de seguridad OX Security divulgó recientemente que el protocolo abierto MCP liderado por Anthropic (Protocolo de Contexto de Modelo, estándar de facto para llamadas de agentes AI a herramientas externas) presenta una vulnerabilidad de ejecución remota de código en su diseño. Los atacantes pueden ejecutar comandos arbitrarios en cualquier sistema que tenga una implementación de MCP vulnerable, obteniendo datos de usuarios, bases de datos internas, claves API y registros de chat. La vulnerabilidad no se debe a errores de codificación del implementador, sino al comportamiento predeterminado del SDK oficial de Anthropic al manejar la transmisión STDIO, afectando versiones en Python, TypeScript, Java y Rust. STDIO es una forma de transmisión de MCP que permite que procesos locales se comuniquen mediante entrada y salida estándar. Los parámetros de StdioServer en el SDK oficial inician directamente procesos hijos con los comandos configurados; si los desarrolladores no realizan una limpieza adicional de entrada, cualquier entrada del usuario que llegue a esa etapa puede convertirse en un comando del sistema. OX Security clasifica la superficie de ataque en cuatro categorías: inyección de comandos directamente en la interfaz de configuración; eludir la limpieza usando comandos permitidos en la lista blanca con marcas de línea (por ejemplo, \npx -c <comando>); modificar la configuración de MCP mediante inyección en el IDE usando sugerencias, permitiendo que herramientas como Windsurf inicien servicios STDIO maliciosos sin interacción del usuario; y esconder configuraciones STDIO en solicitudes HTTP del mercado MCP. Según OX Security, los datos muestran que: los paquetes afectados han sido descargados más de 150 millones de veces, hay más de 7000 servidores MCP accesibles públicamente, exponiendo hasta 200,000 instancias y más de 200 proyectos de código abierto. El equipo ha presentado más de 30 informes de responsabilidad y ha obtenido más de 10 CVE de alta o severa gravedad, cubriendo frameworks y IDEs como LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT, entre otros; de los 11 repositorios de paquetes MCP probados, 9 pueden ser comprometidos mediante esta técnica para insertar configuraciones maliciosas. Tras la divulgación, Anthropic respondió que esto es un “comportamiento previsto” (by design), afirmando que el modelo de ejecución STDIO es un “diseño predeterminado seguro” y que la responsabilidad de limpiar las entradas recae en los desarrolladores, rechazando realizar cambios a nivel de protocolo o SDK oficial. Empresas como DocsGPT y LettaAI ya han lanzado parches por su cuenta, pero la implementación predeterminada de Anthropic no ha cambiado. MCP ya es el estándar de facto para agentes AI que interactúan con herramientas externas, y OpenAI, Google y Microsoft están siguiendo su desarrollo. Sin una corrección en la raíz, cualquier servicio MCP que utilice el método predeterminado del SDK oficial para manejar STDIO, incluso sin errores en su código, puede convertirse en un vector de ataque. (Fuente: BlockBeats)