Los investigadores de ciberseguridad han descubierto una debilidad crítica «por diseño» en la arquitectura del Model Context Protocol (MCP) que podría allanar el camino para la ejecución remota de código y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA).

«Esta falla permite la ejecución de comandos arbitrarios (RCE) en cualquier sistema que ejecute una implementación MCP vulnerable, otorgando a los atacantes acceso directo a datos confidenciales del usuario, bases de datos internas, claves API e historiales de chat», dijeron los investigadores de OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar. dicho en un análisis publicado la semana pasada.

La compañía de ciberseguridad dijo que la vulnerabilidad sistémica está integrada en el kit de desarrollo de software (SDK) MCP oficial de Anthropic en cualquier lenguaje compatible, incluidos Python, TypeScript, Java y Rust. En total, afecta a más de 7.000 servidores y paquetes de software de acceso público, con un total de más de 150 millones de descargas.

Lo que está en juego son los valores predeterminados inseguros en cómo funciona la configuración de MCP en el ESTDIO (entrada/salida estándar), lo que resultó en el descubrimiento de 10 vulnerabilidades que abarcan proyectos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.

• CVE-2025-65720 (Investigador GPT)
• CVE-2026-30623 (LiteLLM) – Parcheado
• CVE-2026-30624 (Agente Cero)
• CVE-2026-30618 (Marco Fay)
• CVE-2026-33224 (Bisheng) – Parcheado
• CVE-2026-30617 (Langchain-Chatchat)
• CVE-2026-33224 (Jaaz)
• CVE-2026-30625 (Upsónico)
• CVE-2026-30615 (Windsurf)
• CVE-2026-26015 (DocsGPT) – Parcheado
• CVE-2026-40933 (Flowise)

Estas vulnerabilidades se dividen en cuatro categorías amplias y activan efectivamente la ejecución remota de comandos en el servidor:

• Inyección de comandos autenticados y no autenticados a través de MCP STDIO
• Inyección de comandos no autenticados a través de configuración STDIO directa con derivación de refuerzo
• Inyección de comandos no autenticados a través de la edición de configuración de MCP mediante inyección de aviso sin hacer clic
• Inyección de comandos no autenticados a través de mercados MCP a través de solicitudes de red, lo que activa configuraciones STDIO ocultas

«El protocolo de contexto modelo de Anthropic ofrece una ejecución directa de configuración a comando a través de su interfaz STDIO en todas sus implementaciones, independientemente del lenguaje de programación», explicaron los investigadores.

«Como este código estaba destinado a usarse para iniciar un servidor STDIO local y devolver un identificador del STDIO al LLM. Pero en la práctica, en realidad permite que cualquiera ejecute cualquier comando arbitrario del sistema operativo, si el comando crea exitosamente un servidor STDIO devolverá el identificador, pero cuando se le da un comando diferente, devuelve un error después de ejecutar el comando».

Curiosamente, durante el año pasado se informaron de forma independiente vulnerabilidades basadas en el mismo problema central. Incluyen CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) y Cursor (CVE-2025-54136).

Anthropic, sin embargo, se ha negado a modificar la arquitectura del protocolo, citando el comportamiento como «esperado». Si bien algunos de los proveedores han emitido parches, la deficiencia sigue sin abordarse en la implementación de referencia MCP de Anthropic, lo que hace que los desarrolladores hereden los riesgos de ejecución del código.

Los hallazgos resaltan cómo las integraciones impulsadas por IA pueden expandir inadvertidamente la superficie de ataque. Para contrarrestar la amenaza, se recomienda bloquear el acceso de IP pública a servicios confidenciales, monitorear las invocaciones de herramientas MCP, ejecutar servicios habilitados para MCP en una zona de pruebas, tratar la entrada de configuración de MCP externa como no confiable y solo instalar servidores MCP de fuentes verificadas.

«Lo que hizo que esto fuera un evento de la cadena de suministro en lugar de un único CVE es que una decisión arquitectónica, tomada una vez, se propagó silenciosamente a todos los idiomas, a todas las bibliotecas posteriores y a todos los proyectos que confiaron en que el protocolo era lo que parecía ser», dijo OX Security. «Transferir la responsabilidad a los implementadores no transfiere el riesgo. Simplemente oscurece quién lo creó».