Investigadores de Ox Security publicaron el 15 de abril de 2026 un reporte que identifica una vulnerabilidad crítica y sistémica en el protocolo MCP de Anthropic: un flaw arquitectónico en la interfaz STDIO permite ejecución remota de comandos en cualquier sistema vulnerable, afectando hasta 200.000 instancias activas y 150 millones de descargas en los SDKs oficiales de Python, TypeScript, Java y Rust.
En 30 segundos
- Ox Security encontró un flaw de diseño en el MCP de Anthropic que permite ejecución arbitraria de comandos (RCE) en sistemas vulnerables.
- El problema está en la interfaz STDIO: el comando se ejecuta aunque la creación del servidor falle, y esto afecta los SDKs oficiales en Python, TypeScript, Java y Rust.
- Escala del impacto: 200+ proyectos open source, 150 millones de descargas, 7.000+ servidores públicamente accesibles, hasta 200.000 instancias vulnerables.
- Anthropic respondió que el comportamiento es intencional (“by design”) y que la responsabilidad de sanitizar los inputs recae sobre el desarrollador.
- Se emitieron más de 10 CVEs de severidad alta o crítica en proyectos que dependen de MCP.
Anthropic es una empresa fundada en 2021 que desarrolla modelos de lenguaje grandes, incluyendo Claude y el Protocolo de Contexto del Modelo (MCP). Fue fundada por investigadores que previamente trabajaban en OpenAI.
Qué es el protocolo MCP y por qué es importante
El Model Context Protocol (MCP) es un estándar abierto creado por Anthropic, lanzado en noviembre de 2024, que permite a los modelos de IA conectarse con datos y sistemas externos. Dicho más simple: es el puente entre un LLM y el mundo real. Sin MCP, el modelo solo puede trabajar con lo que le mandás en el contexto. Con MCP, puede consultar bases de datos, ejecutar comandos, leer archivos, llamar APIs.
Lo adoptaron rápido y fuerte. Plataformas como Replit, Sourcegraph y decenas de herramientas del ecosistema IA lo integraron como base para sus agentes y flujos de automatización. Ahí está el problema: cuando un estándar se convierte en la columna vertebral de un ecosistema entero, un flaw en ese estándar no es el problema de una sola empresa. Es el problema de todos los que construyeron encima.
La vulnerabilidad MCP Anthropic: RCE en la interfaz STDIO
Ponele que configurás un servidor MCP para que tu agente de IA pueda ejecutar comandos de shell en tu máquina. La interfaz STDIO de MCP toma ese comando de configuración y lo lanza como proceso. Hasta acá, normal.
El flaw es este: según el reporte de Ox Security, el comando configurado se ejecuta incluso si la inicialización del servidor MCP falla. No hay validación previa. No hay sanitización. El proceso arranca antes de que el sistema pueda determinar si la configuración es legítima o maliciosa.
Lo que hace que esto sea grave no es un error de programación en un archivo específico. Es una decisión de diseño arquitectónico que está replicada en cada SDK oficial que Anthropic distribuye: Python, TypeScript, Java y Rust. “Cualquier desarrollador que construye sobre la base del MCP de Anthropic hereda esta exposición sin saberlo”, escribieron desde Ox Security. Cubrimos ese tema en detalle en implementar prácticas de seguridad recomendadas.
¿Y qué puede hacer un atacante con esto? Exacto: ejecutar cualquier comando con los permisos del servidor. Acceso a API keys, historiales de chat, bases de datos internas, variables de entorno. Todo lo que esté al alcance del proceso.
Escala del impacto: 200K servidores, 150 millones de descargas
Los números del reporte son los que convierten esto en una noticia y no en un advisory técnico más:
- Más de 200 proyectos open source afectados
- 150 millones de descargas acumuladas de los SDKs vulnerables
- 7.000+ servidores MCP públicamente accesibles
- Hasta 200.000 instancias vulnerables en total
- Más de 10 CVEs de severidad alta o crítica ya emitidos
Eso es una superficie de ataque enorme para lo que lleva poco más de un año de existencia como estándar. La adopción masiva, que era el indicador de éxito del protocolo, se convirtió en el multiplicador del riesgo.
Cómo funciona el ataque paso a paso
El vector de ataque no requiere sofisticación especial, según describe The Register en su cobertura del 16 de abril. El flujo es:
- Paso 1: El atacante obtiene control del archivo de configuración del servidor MCP (ya sea por acceso al sistema, por un ataque de supply chain a una dependencia, o por ingeniería social).
- Paso 2: Inyecta un comando malicioso en el campo de configuración del proceso servidor.
- Paso 3: Cuando cualquier cliente MCP intenta conectarse, STDIO lanza el proceso configurado sin validación.
- Paso 4: El comando se ejecuta con los permisos del servidor. Desde ahí, acceso libre a lo que sea que el proceso pueda tocar.
Lo que hace viable este ataque a escala es precisamente la cadena de suministro. No necesitás atacar a cada instancia individualmente. Si comprometés un proyecto open source que usa MCP como dependencia (y hay 200+ de esos proyectos), el payload llega a todos sus usuarios en la próxima actualización (spoiler: así funcionan los ataques de supply chain más efectivos de los últimos años).
La respuesta de Anthropic: es un feature, no un bug
Acá viene la parte que genera más discusión. Anthropic respondió a los hallazgos de Ox Security con una posición clara: el comportamiento de STDIO es intencional. El modelo de seguridad del MCP considera que el servidor local es un entorno confiable, y que la responsabilidad de sanitizar los inputs y validar las configuraciones es del desarrollador que construye sobre el protocolo. Sobre eso hablamos en migrar hacia plataformas alternativas.
Rechazaron múltiples solicitudes de corrección. Microsoft y Google, que también tienen implementaciones del protocolo, respondieron en la misma línea: “known issue”, problema conocido, no una vulnerabilidad que requiera parche.
Esa posición no es absurda desde un punto de vista teórico. Si el modelo de amenazas asume que el servidor está en un entorno controlado y confiable, entonces exigir que el servidor sanitice sus propios inputs es razonable. El problema es que ese modelo de amenazas no coincide con cómo se despliegan los servidores MCP en la práctica, donde muchos están expuestos públicamente y las configuraciones pueden ser manipuladas por terceros.
¿Alguien lo verificó de forma independiente? Sí, varios equipos de seguridad replicaron el vector descripto por Ox Security y llegaron a las mismas conclusiones.
Proyectos afectados y CVEs emitidos
Más allá de los números globales, lo concreto son los CVEs. Ox Security reporta que ya se emitieron más de 10 vulnerabilidades de severidad alta o crítica en proyectos específicos que dependen del MCP. Según IT Pro, los agentes de IA que usan MCP están particularmente expuestos a ataques de supply chain por esta razón.
Los desarrolladores que construyeron sobre los SDKs oficiales de Anthropic sin capa adicional de validación son los más afectados. Si tu aplicación toma configuraciones de MCP de fuentes externas o de usuarios, estás en la zona de riesgo.
| SDK afectado | Lenguaje | Vector principal | Mitigación disponible |
|---|---|---|---|
| MCP Python SDK | Python | STDIO sin sanitización | Validación manual en cliente |
| MCP TypeScript SDK | TypeScript/Node | STDIO sin sanitización | Validación manual en cliente |
| MCP Java SDK | Java | STDIO sin sanitización | Validación manual en cliente |
| MCP Rust SDK | Rust | STDIO sin sanitización | Validación manual en cliente |
Qué hacer si usás MCP en tu proyecto
Dado que Anthropic no va a emitir un parche (al menos no en respuesta a este reporte), la carga de mitigación recae sobre el desarrollador. Lo concreto: Ya lo cubrimos antes en conocer otros modelos de lenguaje.
- Auditá los archivos de configuración: revisá qué comandos están configurados para ejecutarse via STDIO y quién tiene acceso a modificar esos archivos.
- Validá inputs en el cliente: antes de pasar cualquier configuración al servidor MCP, sanitizá y validá en la capa cliente. No delegues esa responsabilidad al protocolo.
- Restingí permisos del proceso: corré el servidor MCP con el mínimo de permisos necesario. Un proceso con acceso limitado limita el daño posible.
- No expongas servidores MCP directamente a internet sin autenticación y control de acceso explícitos.
- Seguí los CVEs de tus dependencias: si usás proyectos open source que integran MCP, suscribite a sus alertas de seguridad.
- Evaluá si MCP es necesario en tu caso: para integraciones críticas con datos sensibles, considerá si la conveniencia del protocolo justifica la exposición.
La “innovación” de conectar LLMs con sistemas externos viene con su costo de seguridad. No es la primera vez que la adopción masiva de un estándar conveniente precede al análisis de sus implicaciones de seguridad (acá podés poner toda la historia de OAuth, JWT y compañía).
Errores comunes al evaluar esta vulnerabilidad
Error 1: “Mi servidor MCP no está expuesto públicamente, así que estoy a salvo”
No necesariamente. Los ataques de supply chain no requieren acceso directo a tu servidor. Si una dependencia de tu proyecto fue comprometida y modifica archivos de configuración MCP, el vector existe independientemente de si el servidor está en una red privada.
Error 2: Confundir “by design” con “seguro”
Que Anthropic diga que el comportamiento es intencional no significa que sea seguro para todos los casos de uso. El modelo de amenazas que asumen (servidor en entorno confiable) no aplica a deployments en la nube, integraciones con datos de terceros, o cualquier escenario donde la configuración pueda ser manipulada externamente.
Error 3: Asumir que los proyectos que usás ya aplicaron mitigaciones
Con 200+ proyectos afectados y CVEs apenas comenzando a emitirse, el estado de mitigación varía enormemente. No asumas que el wrapper o la librería que usás encima de MCP ya resolvió el problema. Verificalo en el changelog y en los issues abiertos del proyecto.
Preguntas Frecuentes
¿Qué vulnerabilidad tiene el protocolo MCP de Anthropic?
El protocolo MCP tiene un flaw arquitectónico en su interfaz STDIO: el comando configurado para lanzar el proceso servidor se ejecuta antes de cualquier validación, incluso si la inicialización del servidor falla. Esto permite ejecución arbitraria de comandos (RCE) en sistemas donde la configuración puede ser manipulada. El problema afecta todos los SDKs oficiales de Anthropic (Python, TypeScript, Java, Rust) porque es una decisión de diseño, no un error de código puntual. Más contexto en evaluar soluciones de Google.
¿Cuántos sistemas están afectados por la falla del MCP?
Según el reporte de Ox Security publicado el 15 de abril de 2026, el impacto estimado incluye hasta 200.000 instancias vulnerables, 7.000+ servidores MCP públicamente accesibles, 200+ proyectos open source que heredan la vulnerabilidad, y 150 millones de descargas acumuladas de los SDKs afectados. Se emitieron más de 10 CVEs de severidad alta o crítica en proyectos específicos.
¿Por qué Anthropic no lanza un parche para el MCP?
Anthropic considera que el comportamiento de STDIO es intencional y parte del diseño del protocolo. Su posición es que el modelo de seguridad del MCP asume un entorno de servidor confiable, y que sanitizar los inputs es responsabilidad del desarrollador que construye sobre el protocolo. Rechazaron múltiples solicitudes de corrección de Ox Security. Microsoft y Google respondieron en la misma línea respecto a sus implementaciones.
¿Cómo puedo saber si mi proyecto está afectado por la vulnerabilidad MCP?
Si tu proyecto usa alguno de los SDKs oficiales de MCP (Python, TypeScript, Java o Rust) y acepta configuraciones de fuentes externas o de usuarios sin validación previa en la capa cliente, estás en la zona de riesgo. También si dependés de proyectos open source que integran MCP: revisá sus changelogs y la lista de CVEs emitidos. El vector más preocupante es la cadena de suministro, no el acceso directo.
¿Existe alguna mitigación disponible mientras Anthropic no parchea?
Sí. La mitigación principal es implementar validación y sanitización de comandos en la capa cliente antes de pasarlos al servidor MCP. Limitá los permisos del proceso servidor al mínimo necesario, no expongas servidores MCP directamente a internet sin autenticación, y auditá quién puede modificar los archivos de configuración. Para integraciones con datos sensibles, evaluá si el riesgo justifica el uso del protocolo en su estado actual.
Conclusión
Lo que reveló Ox Security el 15 de abril de 2026 no es un bug que se soluciona con un hotfix. Es un problema de modelo de seguridad: el MCP fue diseñado asumiendo un entorno confiable, y se desplegó en un ecosistema donde esa asunción no siempre se cumple. 150 millones de descargas después, la corrección es mucho más costosa que si se hubiera evaluado en el diseño original.
Que Anthropic diga “es by design” es técnicamente honesto, pero no resuelve el problema para los miles de desarrolladores que construyeron sobre esa base. La carga de mitigación recae ahora en cada proyecto individual. Si usás MCP en producción con datos sensibles, la auditoría no es opcional. Si estás evaluando adoptarlo, este reporte es el contexto que necesitás antes de decidir.
Fuentes
- Ox Security – The Mother of All AI Supply Chains: Critical Vulnerability in MCP (reporte original, 15 abril 2026)
- Infosecurity Magazine – Systemic Flaw in MCP Protocol Could Expose 150 Million Downloads
- The Register – Anthropic MCP Design Flaw (16 abril 2026)
- IT Pro – AI Agents Using Anthropic MCP Supply Chain Attacks
- Computing – Flaw in Anthropic’s MCP Putting 200K Servers at Risk