Investigadores de ciberseguridad han descubierto una vulnerabilidad de seguridad crítica en el proyecto MCP Inspector de Anthropic, una empresa de inteligencia artificial. Esta falla, que recibió el identificador CVE-2025-49596, tiene una puntuación CVSS de 9.4 sobre 10.0, lo que indica su alta severidad. La explotación exitosa de esta vulnerabilidad puede resultar en la ejecución remota de código (RCE), permitiendo a un atacante obtener acceso completo a las máquinas de los desarrolladores. Este evento marca una de las primeras RCE críticas en el ecosistema MCP de Anthropic, exponiendo una nueva clase de ataques basados en navegador contra herramientas de desarrollo de IA, con graves riesgos para equipos de IA, proyectos de código abierto y adoptantes corporativos que dependen de MCP.
El Protocolo de Contexto del Modelo (MCP), introducido por Anthropic en noviembre de 2024, es un protocolo abierto que busca estandarizar la integración y el intercambio de datos entre aplicaciones de Modelos Grandes de Lenguaje (LLM) y fuentes de datos o herramientas externas. El MCP Inspector es una herramienta de desarrollo esencial para probar y depurar servidores MCP, que a su vez exponen capacidades específicas a través del protocolo, permitiendo que un sistema de IA acceda e interactúe con información más allá de sus datos de entrenamiento. La herramienta se compone de dos elementos principales: un cliente que ofrece una interfaz interactiva para pruebas y depuración, y un servidor proxy que actúa como puente entre la interfaz web y los diversos servidores MCP.
La vulnerabilidad crítica en el Inspector (CVE-2025-49596) es una falla de Falsificación de Solicitudes entre Sitios (CSRF). Sin embargo, el problema se agrava significativamente por una configuración predeterminada insegura: el servidor proxy del MCP Inspector, por defecto, carece de protecciones de autenticación y cifrado. Adicionalmente, tiene permisos para generar procesos locales y conectarse a cualquier servidor MCP especificado. Esta "mala configuración" crea una superficie de ataque considerable, ya que cualquier persona con acceso a la red local o a internet pública puede potencialmente interactuar y explotar estos servidores, lo que resulta en riesgos de seguridad "significativos", según Oligo Security.
El ataque se desarrolla encadenando una falla de seguridad conocida en los navegadores web modernos, apodada "0.0.0.0 Day", con la vulnerabilidad CSRF en el Inspector (CVE-2025-49596). El "0.0.0.0 Day" es una vulnerabilidad de 19 años en los navegadores web que puede permitir que sitios web maliciosos invadan redes locales. Explota la incapacidad de los navegadores para manejar de forma segura la dirección IP 0.0.0.0, lo que lleva a la ejecución de código. Los ataques pueden orquestarse mediante la creación de un sitio web malicioso que envía solicitudes a servicios en localhost que se ejecutan en un servidor MCP, otorgando la capacidad de ejecutar comandos arbitrarios en la máquina del desarrollador. La configuración predeterminada que expone los servidores MCP a estos ataques significa que muchos desarrolladores pueden estar abriendo inadvertidamente una puerta trasera (backdoor) en sus máquinas.
Un escenario de ataque hipotético ilustra cómo puede ocurrir esta explotación: la prueba de concepto (PoC) utiliza el endpoint de Eventos Enviados por el Servidor (SSE) para despachar una solicitud maliciosa desde un sitio web controlado por un atacante, con el fin de lograr RCE en la máquina que ejecuta la herramienta, incluso si está escuchando en localhost (127.0.0.1). Esto es posible porque la dirección IP 0.0.0.0 instruye al sistema operativo a "escuchar" en todas las direcciones IP asignadas a la máquina, incluida la interfaz de bucle local (loopback), es decir, localhost. Un atacante puede crear una página web falsa e inducir a un desarrollador a visitarla; el JavaScript malicioso incrustado en la página enviaría entonces una solicitud a 0.0.0.0:6277 (el puerto predeterminado en el que se ejecuta el proxy), instruyendo al servidor proxy del MCP Inspector que ejecute comandos arbitrarios. El ataque también puede emplear técnicas de DNS rebinding para crear un registro DNS falsificado que apunte a 0.0.0.0:6277 o 127.0.0.1:6277, eludiendo los controles de seguridad y obteniendo privilegios de RCE.
Tras una divulgación responsable en abril de 2025, la vulnerabilidad fue corregida por los mantenedores del proyecto el 13 de junio, con el lanzamiento de la versión 0.14.1. Las correcciones implementan un token de sesión en el servidor proxy e incorporan validación de origen, bloqueando eficazmente el vector de ataque. Con estas actualizaciones, el servidor bloquea por defecto los ataques de DNS rebinding y CSRF, añadiendo una autorización que faltaba en las configuraciones anteriores y verificando las cabeceras HTTP Host y Origin para garantizar que el cliente visita desde un dominio conocido y de confianza. Oligo Security señaló que, aunque los servicios en localhost pueden parecer seguros, a menudo están expuestos a la internet pública debido a las capacidades de enrutamiento de red en los navegadores y clientes MCP.
El descubrimiento de CVE-2025-49596 surge pocos días después de que Trend Micro detallara un error de inyección de SQL sin corregir en el servidor SQLite MCP de Anthropic, que podría ser explotado para inyectar prompts maliciosos, exfiltrar datos y tomar el control de los flujos de trabajo del agente. Sean Park, un investigador, observó que los agentes de IA a menudo confían en datos internos (de bases de datos, registros o logs en caché), tratándolos como seguros. Un atacante puede explotar esta confianza insertando un prompt malicioso en este punto, que posteriormente podría hacer que el agente active herramientas potentes (correo electrónico, base de datos, API en la nube) para robar datos o moverse lateralmente, eludiendo verificaciones de seguridad previas. Aunque este proyecto de código abierto fue concebido como una implementación de referencia y no para uso en producción, ha sido bifurcado (forked) más de 5,000 veces. Además, el repositorio de GitHub fue archivado el 29 de mayo de 2025, lo que implica que no se planean correcciones adicionales para esta deficiencia.
Adicionalmente, un informe de Backslash Security reveló que cientos de servidores MCP son susceptibles a dos importantes malas configuraciones: la primera permite la ejecución arbitraria de comandos en la máquina anfitriona (host) debido al manejo de entradas no verificadas y permisos excesivos; la segunda los hace accesibles a cualquiera en la misma red local al estar explícitamente vinculados a 0.0.0.0, una vulnerabilidad apodada NeighborJack. Backslash Security describe el escenario de NeighborJack: "Imagina que estás programando en un espacio de coworking o una cafetería compartida. Tu servidor MCP se está ejecutando silenciosamente en tu máquina. La persona sentada cerca de ti, tomando su café con leche, ahora puede acceder a tu servidor MCP, simular herramientas y potencialmente ejecutar operaciones en tu nombre. Es como dejar tu portátil abierto y desbloqueado para todos en la sala". Debido a su diseño para acceder a fuentes de datos externas, los MCP pueden servir como rutas ocultas para la inyección de prompts y el envenenamiento de contexto, influyendo en el resultado de un LLM al analizar datos de un sitio web controlado por un atacante que contiene instrucciones ocultas.
Para mitigar el envenenamiento de contexto, un enfoque sugerido por Micah Gold es procesar cuidadosamente cualquier texto extraído de un sitio web o base de datos. Sin embargo, Gold señala que este enfoque "infla" las herramientas, requiriendo que cada herramienta individual reimplemente la misma característica de seguridad, y deja al usuario dependiente del protocolo de seguridad de la herramienta MCP individual. Un enfoque superior, según Backslash Security, es configurar reglas de IA con los clientes MCP para protegerse contra servidores vulnerables. Estas reglas son prompts o instrucciones predefinidas asignadas a un agente de IA para guiar su comportamiento y garantizar que no viole los protocolos de seguridad. Al condicionar a los agentes de IA para que sean escépticos y conscientes de la amenaza que representa el envenenamiento de contexto a través de reglas de IA, los clientes MCP pueden protegerse contra los servidores MCP.
En resumen, la aparición de estas vulnerabilidades críticas en el ecosistema MCP de Anthropic subraya la necesidad urgente de una postura de seguridad proactiva en el desarrollo y despliegue de herramientas de IA. La lección es clara: permitir que los "errores de aplicaciones web de ayer" se infiltren en la "infraestructura de agentes de hoy" ofrece a los atacantes un camino fácil desde la inyección de SQL hasta el compromiso total del agente. La protección requiere una combinación de parches de vulnerabilidades de software, configuraciones de seguridad reforzadas por defecto y el desarrollo de agentes de IA más "escépticos" y conscientes de la seguridad para navegar por datos potencialmente maliciosos.