MCP y Seguridad de Agentes IA: Cómo el Protocolo Creó una Nueva Superficie de Ataque
Model Context Protocol simplificó conexiones de agentes IA a herramientas — pero creó una nueva superficie de ataque. Cada servidor MCP se convierte en un…
Procesado por IA desde Habr AI; editado por Hamidun News
El Model Context Protocol (MCP) hizo que los agentes de IA fueran modulares: una única interfaz estándar para conectar a cualquier herramienta y servicio. Pero detrás de esta unificación se esconde un problema sistémico — cada nuevo servidor MCP expande la zona de confianza del agente y crea un potencial punto de ataque.
Por qué MCP creó nuevas vulnerabilidades
Los grandes modelos de lenguaje no tienen un límite arquitectónico entre "datos" e "instrucciones". Todo lo que entra en el contexto del modelo es potencialmente ejecutable. MCP no resuelve este problema; lo escala: ahora un agente puede tener decenas de herramientas conectadas, y cada una expande la superficie de ataque.
La estandarización de MCP significa que un atacante que obtiene control sobre un servidor o puede inyectar datos en sus respuestas potencialmente influye en toda la cadena de acciones del agente.
Tres clases principales de amenazas en el ecosistema MCP:
- Tool poisoning — la descripción de la herramienta en el servidor MCP contiene instrucciones ocultas que cambian el comportamiento del agente cuando se invoca
- Indirect prompt injection — las instrucciones maliciosas se ocultan en un documento, entrada de base de datos o página web que el agente lee durante una tarea
- Sampling abuse — manipulación de cómo el agente solicita nuevas inferencias del modelo, lo que permite eludir las restricciones del prompt del sistema
Incluso un PDF "inofensivo", descripción de herramienta o cadena de base de datos pueden contener comandos que el agente ejecutará junto con herramientas legítimas.
Lo que revelaron las pruebas prácticas
Estas vulnerabilidades no son teóricas. Un investigador realizó pruebas en un testbed MCP especialmente configurado y vulnerable, y confirmó la ejecución real de comandos inyectados. Entre los escenarios documentados se encuentran la interceptación de llamadas de herramientas a través de respuestas de servidor MCP especialmente formuladas y la ejecución de instrucciones ocultas de documentos de texto pasados al agente como "datos".
"Cada servidor MCP en el que confías expande la zona de confianza de
todo tu sistema — no solo con sus propias herramientas, sino con todo lo que pueda entregar al agente como datos."
El escáner BarkingDog, desarrollado por el autor, detecta llamadas de herramientas sospechosas en tiempo real — una de las pocas herramientas de detección prácticas disponibles para equipos de seguridad hoy.
Cómo la industria intenta resolver el problema
Los proveedores de infraestructura de IA se están moviendo en varias direcciones simultáneamente:
- MCP Gateways — una capa proxy que filtra y controla llamadas de herramientas antes de que lleguen al agente; algunas soluciones agregan registros de auditoría completos de interacciones
- Sandboxing — aislamiento de la ejecución del servidor MCP con acceso restringido al sistema de archivos, red y recursos del sistema
- Arquitecturas OAuth — autorización explícita de cada herramienta con derechos de acceso mínimos; cada servidor MCP recibe solo los permisos realmente necesarios para una tarea específica
Por ahora, todas estas soluciones son parciales. El problema fundamental es arquitectónico: hasta que los modelos de lenguaje aprendan a distinguir entre el plano de datos y el plano de control a nivel del procesamiento de contexto, cualquier dato entrante sigue siendo potencialmente ejecutable.
Lo que esto significa
MCP se ha convertido en el estándar de facto para agentes de IA, y la cuestión de su seguridad ha pasado del ámbito académico al práctico. Los desarrolladores que desplieguen agentes con servidores MCP deberían tratar cada herramienta conectada como una tercera parte de confianza — con auditoría obligatoria, aislamiento y el principio del menor privilegio en cada llamada.
¿Quieres dejar de leer sobre IA y empezar a usarla?
AI News es un feed curado de noticias de IA. Hamidun Academy te enseña a usar la IA en tu trabajo.
Lo esencial de la IA — una vez por semana
Siete historias que de verdad importaron, elegidas a mano. Sin ruido ni notas de prensa.
¡Listo! Revisa tu correo para la confirmación.