Model Context Protocol se ha convertido en la plomería por defecto para conectar LLMs a herramientas y datos. Claude Desktop lo usa, Claude Code lo usa, Cursor y Windsurf lo usan, y una larga cola de frameworks de agente han construido encima. OX Security soltó una divulgación este fin de semana argumentando que la implementación MCP de referencia tiene una falla de diseño en cómo el transporte STDIO inicializa los servidores, y el radio de explosión es inusualmente grande. Sus investigadores (Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok, Roni Bar) catalogaron once CVEs a través de bibliotecas downstream, más el problema arquitectónico raíz en el SDK de referencia de Anthropic para Python, TypeScript, Java, y Rust.
El mecanismo es directo. Cuando un cliente MCP monta un servidor con transporte STDIO, el código de inicialización invoca un comando OS. Si el comando da limpiamente un handle STDIO, el cliente procede. Si falla, el cliente recibe un error, pero el comando se ejecutó igual. OX Security distingue cuatro categorías de ataque sobre esa primitiva: inyección de comando no autenticada vía transporte STDIO, inyección de comando que sortea el endurecimiento existente en configs STDIO directas, inyección de prompt zero-click que edita archivos de config MCP para apuntar a comandos controlados por el atacante, y ataques de marketplace donde configs STDIO ocultas se disparan mediante requests de red. El impacto downstream cubre LiteLLM, LangChain, LangFlow, Flowise, LettaAI, GPT Researcher, Agent Zero, Fay Framework, Bisheng, Langchain-Chatchat, Jaaz, Upsonic, Windsurf, y DocsGPT. El conteo conservador es siete mil servidores públicos y más de ciento cincuenta millones de descargas combinadas.
La mitad de gobernanza de esta historia es más pesada que la mitad técnica. Anthropic se ha rehusado a modificar el protocolo, llamando el comportamiento "esperado". Esa respuesta traslada la responsabilidad de seguridad a cada implementador, que es la queja central de OX Security — "trasladar la responsabilidad a los implementadores no transfiere el riesgo; solo oscurece quién lo creó". Algunas bibliotecas downstream han parcheado (LiteLLM, Bisheng, DocsGPT entre ellas). Muchas no. Los investigadores documentaron que la explotación exitosa da acceso directo a datos sensibles, bases de datos internas, claves API, e historiales de chat. El precedente establecido aquí es que el protocolo de referencia enviará defaults inseguros y la spec no se ajustará cuando los investigadores demuestran explotación a escala.
Si envías o consumes servidores MCP, tres cosas vale la pena hacer esta semana. Uno, audita tus configs MCP e identifica cualquier cosa usando transporte STDIO desde fuentes marketplace o de terceros; trata esas configs como entrada no confiable. Dos, revisa si las bibliotecas downstream de las que dependes han parcheado. Usuarios de LangChain, LiteLLM, Flowise, Windsurf deberían verificar números de versión contra avisos de CVE. Tres, no asumas que los defaults del SDK de referencia son seguros solo porque son defaults. La señal de gobernanza es clara: Anthropic está tratando el protocolo como una capa base cuya seguridad es problema del implementador. Si eres un implementador downstream, construye tu propio endurecimiento; el upstream no lo hará.