Investigadores de ciberseguridad han identificado una vulnerabilidad crítica de arquitectura en Model Context Protocol (MCP), un protocolo ampliamente utilizado para conectar grandes modelos de lenguaje (LLM) con herramientas y servicios externos. El fallo permite ejecución remota de código (RCE) en servidores que implementan MCP y se perfila como un riesgo sistémico para la cadena de suministro de soluciones de IA generativa.
Qué es Model Context Protocol (MCP) y por qué su vulnerabilidad es crítica
MCP es un protocolo diseñado para que los LLM puedan invocar herramientas externas, consultar bases de datos o interactuar con APIs de forma estructurada. Para los desarrolladores, actúa como una capa estándar que simplifica la integración de agentes de IA con el entorno corporativo.
El problema, según el análisis de OX Security, es que una decisión de diseño en la implementación oficial del SDK de MCP de Anthropic convierte esta comodidad en un vector directo hacia RCE. En lugar de ser solo un canal de comunicación, la capa de transporte basada en STDIO (standard input/output) termina exponiendo capacidad de ejecución de comandos del sistema operativo.
Cadena de explotación: del parámetro de configuración al RCE
La vulnerabilidad se origina en cómo el SDK oficial de MCP configura y lanza servidores MCP sobre STDIO. Los valores por defecto permiten que las cadenas de configuración se traduzcan casi directamente en comandos del sistema, con validaciones insuficientes.
Los investigadores detallan que la implementación STDIO en todos los lenguajes soportados —Python, TypeScript, Java, Rust, entre otros— admite en la práctica la ejecución de cualquier orden del sistema. Si el comando invocado levanta correctamente un servidor STDIO, se devuelve un descriptor de conexión válido. Si no, el comando igualmente se ejecuta y solo después se produce un error, cuando ya se ha producido la acción maliciosa, abriendo la puerta a ejecución remota de código en el servidor MCP.
Alcance de la vulnerabilidad MCP: servidores expuestos y ecosistema LLM
De acuerdo con OX Security, la debilidad afecta al SDK oficial de MCP de Anthropic en todas sus bindings de lenguaje. En términos prácticos, el impacto alcanza a más de 7.000 servidores públicamente accesibles y a paquetes de software que acumulan más de 150 millones de descargas. Este volumen sitúa la vulnerabilidad MCP en una categoría similar a otros incidentes de amplio alcance como Log4Shell, pero en el contexto específico de la seguridad de IA y LLM.
Sobre esta base arquitectónica defectuosa se han identificado al menos 10 vulnerabilidades adicionales en ecosistemas populares de orquestación de LLM, incluyendo LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot. Aunque los detalles técnicos varían, el efecto final es el mismo: posibilidad de ejecutar comandos arbitrarios en el servidor donde se integra un interfaz MCP vulnerable.
CVE relacionados y respuesta de fabricantes
Diferentes equipos de investigación han registrado de forma independiente fallos basados en este mismo defecto raíz del protocolo MCP. Entre los identificadores CVE relacionados destacan CVE-2025-49596 (MCP Inspector), CVE-2026-22252 (LibreChat), CVE-2026-22688 (WeKnora), CVE-2025-54994 (@akoskm/create-mcp-server-stdio) y CVE-2025-54136 (Cursor). En todos los casos, el patrón común es el uso inseguro de STDIO dentro del protocolo MCP, derivando en RCE.
Algunos proveedores han reaccionado ya con parches y cambios en las configuraciones por defecto para reducir la superficie de ataque. Sin embargo, Anthropic ha decidido no modificar la arquitectura de MCP, argumentando que el comportamiento actual del protocolo es el esperado. Esta postura mantiene el riesgo en la implementación de referencia, de la que heredan su diseño miles de proyectos y bibliotecas.
Riesgo de supply chain en soluciones de IA generativa
Lo que convierte este incidente en especialmente relevante es su naturaleza de problema de cadena de suministro en IA (AI supply chain). Una única decisión de diseño en el protocolo se ha propagado a todas las implementaciones de lenguaje, bibliotecas de terceros y plataformas que confiaron en MCP como capa segura de integración.
Además, en muchos despliegues, los agentes LLM y los servidores MCP tienen acceso a recursos altamente sensibles: bases de datos internas, claves de API, historiales de chat confidenciales y lógica de negocio crítica. La explotación de un MCP con RCE puede traducirse en robo de datos, movimiento lateral dentro de la red y sabotaje de procesos automatizados basados en IA.
Recomendaciones de ciberseguridad para entornos con MCP y LLM
Seguridad de red y control de acceso a servidores MCP
Las organizaciones que utilicen MCP o herramientas basadas en este protocolo deberían evitar exponer directamente estos servicios a Internet. Es recomendable restringir el acceso por IP, colocar los servidores MCP en segmentos de red protegidos y aplicar controles de autenticación y filtrado estrictos en cualquier interfaz externa.
Uso seguro de MCP, aislamiento y monitorización
Es fundamental tratar cualquier configuración de MCP procedente del exterior como entrada no confiable y evitar inyectar datos de usuario sin validación. Los servicios compatibles con MCP deberían desplegarse en entornos aislados (contenedores con privilegios mínimos, sandboxes) para limitar el impacto de una posible RCE. Asimismo, conviene registrar y analizar sistemáticamente las llamadas a herramientas MCP para detectar comportamientos anómalos o intentos de explotación.
Higiene de cadena de suministro en proyectos de IA
Desde la perspectiva de supply chain de software, resulta clave utilizar servidores MCP y bibliotecas solo de fuentes verificadas, monitorizar la publicación de nuevos CVE relacionados con MCP y actualizar dependencias de forma proactiva. Prácticas como mantener un Software Bill of Materials (SBOM), aplicar controles de integridad y realizar auditorías periódicas de dependencias deberían considerarse parte del estándar de seguridad en proyectos de IA generativa.
Este incidente en Model Context Protocol demuestra cómo una decisión aparentemente técnica en un componente base puede transformarse en un factor de riesgo crítico para toda la infraestructura de IA. Reforzar el análisis de amenazas a nivel de arquitectura, gestionar de forma rigurosa las dependencias y aplicar principios de mínimo privilegio en la integración de LLM son pasos esenciales para reducir la probabilidad e impacto de futuros fallos similares. Es un momento oportuno para revisar despliegues existentes de MCP, priorizar correcciones y consolidar una estrategia de ciberseguridad alineada con la rápida adopción de la IA generativa.
