A medida que el campo de la inteligencia artificial (IA) contin\u00faa evolucionando a un ritmo r\u00e1pido, una nueva investigaci\u00f3n ha encontrado c\u00f3mo las t\u00e9cnicas que representan el protocolo del contexto modelo (MCP<\/a>) susceptible a ataques de inyecci\u00f3n inmediatos podr\u00edan usarse para desarrollar herramientas de seguridad o identificar herramientas maliciosas, seg\u00fan un nuevo informe<\/a> de tenable.<\/p>\n MCP, lanzado por Anthrope en noviembre de 2024, es un marco dise\u00f1ado para conectar modelos de idiomas grandes (LLM) con fuentes y servicios de datos externos, y utilizar herramientas controladas por modelos para interactuar con esos sistemas para mejorar la precisi\u00f3n, relevancia y utilidad de las aplicaciones de IA.<\/p>\n Sigue una arquitectura de cliente cliente, permitiendo Hosts con clientes de MCP<\/a> como Claude Desktop o cursor para comunicarse con diferentes servidores MCP, cada uno de los cuales expone herramientas y capacidades espec\u00edficas.<\/p>\n Mientras que el est\u00e1ndar abierto ofrece un interfaz unificada<\/a> Para acceder a diversas fuentes de datos e incluso cambiar entre proveedores de LLM, tambi\u00e9n vienen con un nuevo conjunto de riesgos, desde el alcance de permiso excesivo hasta los ataques de inyecci\u00f3n indirecta.<\/p>\n Por ejemplo, dado un MCP para que Gmail interact\u00fae con el servicio de correo electr\u00f3nico de Google, un atacante podr\u00eda Enviar mensajes maliciosos<\/a> que contiene instrucciones ocultas que, cuando se analizan por el LLM, podr\u00edan desencadenar acciones indeseables, como reenviar correos electr\u00f3nicos confidenciales a una direcci\u00f3n de correo electr\u00f3nico bajo su control. <\/p>\n MCP tambi\u00e9n ha sido encontr\u00f3<\/a> Para ser vulnerable a lo que se llama envenenamiento por herramientas, en el que las instrucciones maliciosas est\u00e1n integradas dentro de las descripciones de herramientas que son visibles para LLMS, y los ataques de la tira de alfombras, que ocurren cuando una herramienta MCP funciona de manera benigna inicialmente, pero muta su comportamiento m\u00e1s adelante a trav\u00e9s de una actualizaci\u00f3n maliciosa de tiempo.<\/p>\n “Cabe se\u00f1alar que, si bien los usuarios pueden aprobar el uso y el acceso de la herramienta, los permisos dados a una herramienta se pueden reutilizar sin volver a promocionar al usuario”, Sentinelone dicho<\/a> en un an\u00e1lisis reciente.<\/p>\n Finalmente, tambi\u00e9n existe el riesgo de contaminaci\u00f3n de la herramienta cruzada o el sombreado de herramientas de servidor cruzado que hace que un servidor MCP anule o interfiera con otro, influyendo sigilosamente en c\u00f3mo se deben usar otras herramientas, lo que lleva a nuevas formas de exfiltraci\u00f3n de datos.<\/p>\n Los \u00faltimos hallazgos de Tenable muestran que el marco MCP podr\u00eda usarse para crear una herramienta que registre todas las llamadas de la funci\u00f3n de la herramienta MCP al incluir una descripci\u00f3n especialmente elaborada que instruya a la LLM que inserte esta herramienta antes de invocar cualquier otra herramienta.<\/p>\n En otras palabras, el inyecci\u00f3n r\u00e1pida<\/a> se manipula para un buen prop\u00f3sito, que es registrar informaci\u00f3n sobre “la herramienta que se le pidi\u00f3 que ejecutara, incluido el nombre del servidor MCP, el nombre y la descripci\u00f3n de la herramienta MCP, y el indicador del usuario que hizo que la LLM intentara ejecutar esa herramienta”.<\/p>\n Otro caso de uso implica incrustar una descripci\u00f3n en una herramienta para convertirlo en un firewall que bloquee las herramientas no autorizadas.<\/p>\n “Las herramientas deben requerir la aprobaci\u00f3n expl\u00edcita antes de ejecutarse en la mayor\u00eda de las aplicaciones de host MCP”, dijo el investigador de seguridad Ben Smith.<\/p>\n “A\u00fan as\u00ed, hay muchas formas en que las herramientas se pueden usar para hacer cosas que pueden no ser estrictamente entendidas por la especificaci\u00f3n. Estos m\u00e9todos dependen de la incorporaci\u00f3n de LLM a trav\u00e9s de los valores de descripci\u00f3n y retorno de las herramientas MCP. Dado que los LLM no son deterministas, tambi\u00e9n son los resultados”.<\/p>\n La divulgaci\u00f3n se produce cuando Trustwave SpiderLabs revel\u00f3 que el reci\u00e9n introducido Agent2Agent (A2A<\/a>) El protocolo, que permite la comunicaci\u00f3n y la interoperabilidad entre las aplicaciones de agente, podr\u00edan expuestos a ataques de formularios novedosos donde el sistema se puede jugar para enrutar todas las solicitudes a un agente de IA p\u00edcaro al mentir sobre sus capacidades.<\/p>\n A2A fue anunciado<\/a> por Google a principios de este mes como una forma para que los agentes de IA trabajen en los sistemas y aplicaciones de datos en aislados, independientemente del proveedor o el marco utilizado. Es importante tener en cuenta aqu\u00ed que mientras MCP conecta LLM con datos, A2A conecta un agente de IA a otro. En otras palabras, ambos son protocolos complementarios<\/a>.<\/p>\n “Digamos que comprometimos al agente a trav\u00e9s de otra vulnerabilidad (tal vez a trav\u00e9s del sistema operativo), si ahora utilizamos nuestro nodo comprometido (el agente) y elaboramos un Tarjeta de agente<\/a> Y realmente exagere nuestras capacidades, entonces el agente anfitri\u00f3n debe elegirnos cada vez para cada tarea y enviarnos todos los datos confidenciales del usuario que debemos analizar “, el investigador de seguridad Tom Neaves dicho<\/a>.<\/p>\n “El ataque no solo se detiene para capturar los datos, sino que puede ser activo e incluso devolver resultados falsos, que luego ser\u00e1n actuados hacia abajo por el LLM o el usuario”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-investigadores-demuestran-como-se-puede-usar-la-inyeccion-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nNo es solo MCP<\/h3>\n
<\/a><\/center><\/div>\n