Según OX Security, se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) a nivel de diseño en el Protocolo de Contexto de Modelo (MCP), un protocolo abierto ampliamente adoptado para agentes de IA. La falla, que afecta el comportamiento predeterminado del SDK oficial de Anthropic, permite a los atacantes ejecutar comandos arbitrarios en sistemas que utilizan implementaciones vulnerables de MCP, comprometiendo potencialmente los datos de los usuarios y las bases de datos internas. La vulnerabilidad afecta a múltiples lenguajes de programación, incluidos Python, TypeScript, Java y Rust.
OX Security destacó que la vulnerabilidad surge del método de transporte STDIO, que permite la comunicación entre procesos locales. Los StdioServerParameters del SDK oficial pueden generar procesos hijos utilizando parámetros de comando provenientes de configuraciones, lo que hace que las entradas de usuario no sanitizadas sean ejecutables. A pesar de la gravedad, Anthropic se ha negado a modificar el protocolo, manteniendo que el modelo de ejecución STDIO es un diseño predeterminado seguro. Aunque algunos proveedores han emitido parches, el problema central sigue sin resolverse, dejando los servicios MCP en riesgo de explotación.
Vulnerabilidad en el Protocolo MCP expone sistemas de IA a ataques RCE
Aviso legal: El contenido de Phemex News es únicamente informativo.No garantizamos la calidad, precisión ni integridad de la información procedente de artículos de terceros.El contenido de esta página no constituye asesoramiento financiero ni de inversión.Le recomendamos encarecidamente que realice su propia investigación y consulte con un asesor financiero cualificado antes de tomar cualquier decisión de inversión.