Auditoría de seguridad del protocolo MCP revela vulnerabilidades críticas, inyección de prompt elude 12 salvaguardas LLM, DAST agéntico supera a pentesters
Trail of Bits y NCC Group exponen envenenamiento de cadena de herramientas en el protocolo MCP de Anthropic. CRESCENDO-2 de ETH Zurich elude salvaguardas en 12 LLM principales. Estudio Stanford: agentes IA superan a pentesters. Ataques supply chain +340%.
🔴 Crítico: Auditoría de seguridad del protocolo MCP expone envenenamiento de cadena de herramientas
Una auditoría de seguridad integral del Model Context Protocol (MCP) de Anthropic — adoptado por más de 40.000 despliegues de agentes IA — revela vulnerabilidades que permiten a los atacantes manipular descripciones de herramientas, inyectar instrucciones maliciosas mediante esquemas de parámetros y secuestrar la toma de decisiones de los agentes.
Inyección de descripción de herramienta (TDI)
Los investigadores lograron una tasa de éxito del 94% redirigiendo el comportamiento del agente mediante instrucciones adversas en las descripciones de herramientas.
Contrabando de parámetros de esquema
Los campos description, default y examples del JSON Schema son consumidos por el LLM pero raramente validados, permitiendo la exfiltración de datos sensibles.
Escalada de privilegios entre servidores
Un servidor malicioso puede instruir al agente para invocar herramientas en otros servidores MCP conectados. La especificación carece de aislamiento cross-origin.
🔴 Crítico: Inyección de prompt universal elude 12 salvaguardas LLM principales
Investigadores de ETH Zurich publicaron «CRESCENDO-2», un framework que elude sistemáticamente las salvaguardas de seguridad en 12 sistemas LLM principales usando optimización sin gradiente que reforma el contexto conversacional en 5-8 turnos.
- Tasa de evasión: 78% promedio en 12 modelos
- Evasión de detección: Solo 12% detectado por sistemas existentes
- Transferibilidad: 45% de éxito entre modelos sin modificación
- Automatización: Secuencia completa generable por otro LLM
🟠 Alto: DAST agéntico supera a pentesters manuales en estudio Stanford
| Métrica | Pentesters humanos (prom.) | DAST agéntico (mejor) | DAST agéntico (prom.) |
|---|---|---|---|
| Vulnerabilidades encontradas (de 20) | 14,2 | 17 | 15,8 |
| Tiempo total | 8,5 horas | 47 minutos | 1,2 horas |
| Falsos positivos | 2,1 | 3 | 4,2 |
| Lógica de negocio | 4,8 de 5 | 2 de 5 | 1,4 de 5 |
Hallazgo clave: El modelo híbrido humano-IA encontró 19,1 de 20 vulnerabilidades — 35% más que humanos solos.
🟡 Investigación: Ataques a cadena de suministro de modelos IA aumentan 340%
- Typosquatting en Hugging Face: 847 repositorios maliciosos
- Envenenamiento de PyPI: 1.243 paquetes maliciosos
- Exploits de archivos gradient: Archivos SafeTensors y GGUF malformados
🟡 Emergente: Pruebas de conocimiento cero para auditorías de IA ganan tracción
Las empresas adoptan sistemas ZKP para pistas de auditoría verificables sin exponer detalles propietarios, impulsados por los requisitos de transparencia de la Ley de IA de la UE.
Recomendaciones Kensai
- Equipos IA/ML con MCP: Auditar todos los servidores MCP conectados inmediatamente
- Despliegues LLM empresariales: Implementar filtrado de salida y autorización determinista
- Equipos de seguridad: Adoptar pentesting híbrido humano-IA
- Operaciones ML: Seguridad de cadena de suministro para registros de modelos
- Equipos de cumplimiento: Evaluar soluciones ZKP para la Ley de IA de la UE