MCP-in-SoS: Risk assessment framework for open-source MCP servers

Este artículo presenta un marco de evaluación de riesgos para servidores MCP de código abierto que, mediante análisis de código estático y mapeo a taxonomías de amenazas, identifica vulnerabilidades explotables y propone un sistema de puntuación para garantizar despliegues de agentes de IA más seguros.

Lo esencial

¡Claro que sí! Imagina que este paper es como un informe de inspección de seguridad para un nuevo tipo de "caja de herramientas" que los robots inteligentes (Inteligencia Artificial) están empezando a usar.

Aquí tienes la explicación en español, usando analogías sencillas:

🤖 El Contexto: ¿Qué es un "MCP"?

Imagina que tienes un asistente personal muy inteligente (como un robot que puede escribir, buscar en internet o controlar tu casa). Para que este robot haga cosas útiles, necesita herramientas: un destornillador, un mapa, una cerradura, etc.

El MCP (Model Context Protocol) es como un estándar universal de enchufes. Antes, cada herramienta tenía un enchufe raro y el robot no sabía cómo conectarla. Ahora, con el MCP, todas las herramientas tienen el mismo tipo de enchufe. El robot puede conectar miles de herramientas diferentes (servidores de código abierto) fácilmente.

⚠️ El Problema: La "Caja de Herramientas" está llena de grietas

El problema es que, como es tan fácil conectar estas herramientas, mucha gente (desarrolladores) ha empezado a crearlas y compartirlas gratis en internet (código abierto). Pero, al hacerlo rápido, muchas de estas herramientas tienen "grietas" o defectos de seguridad.

Los autores de este estudio (un equipo de investigadores) se preguntaron: "¿Qué tan peligrosas son realmente estas herramientas que la gente está usando?".

🔍 La Misión: El "Detective de Código"

Para responder, crearon un sistema llamado MCP-in-SoS. Imagina que es un inspector de seguridad robótico que hace lo siguiente:

1. Revisa la lista: Bajaron 222 de estas herramientas (servidores MCP) de internet.
2. Usa lentes mágicos: Utilizaron tres tipos de "lentes" (herramientas de análisis automático) para escanear el código de cada herramienta sin tener que ejecutarlas. Buscaban errores conocidos, como puertas abiertas, candados rotos o ventanas sin cerrar.
3. Clasifica el peligro: No solo encontraron los errores, sino que les dieron una puntuación de riesgo.
   • Analogía: Es como si un inspector no solo dijera "hay una grieta", sino que calculara: "¿Qué tan fácil es que un ladrón entre por esa grieta?" y "¿Qué tan grave sería si entra?".

📊 Lo que Descubrieron (Los Resultados)

Los resultados fueron bastante alarmantes, como si descubrieran que la mayoría de las casas en un vecindario nuevo tienen la puerta principal abierta:

• Casi todos tienen problemas: De las 222 herramientas revisadas, 191 (el 86%) tenían al menos un defecto grave.
• El riesgo es alto: La mayoría de estas herramientas tienen un riesgo de seguridad "Alto" o "Muy Alto".
• Los errores más comunes:
  • Puertas sin candado (Falta de autenticación): Cualquiera puede entrar.
  • Ventanas abiertas (Exposición de datos): Información sensible se ve desde la calle.
  • Inyecciones (SQL Injection): Como si un ladrón pudiera escribir una nota falsa en tu buzón que le diga al cartero que te robe la casa.

🔗 El Efecto Dominó: Cuando los errores se unen

Lo más interesante que descubrieron es que los errores rara vez están solos. A menudo, se unen para crear cadenas de ataque.

• Analogía: Imagina que tienes una cerca rota (Protocolo). Un ladrón entra. Como la cerca estaba rota, el ladrón llega a la puerta de la cocina (Herramienta) que estaba mal cerrada. Al entrar, roba los diamantes del cajón (Recurso).
• El estudio mostró que si una herramienta tiene una "puerta rota" (error de protocolo), es muy probable que también tenga una "cocina desprotegida" (error de herramienta). Esto crea un camino fácil para que los atacantes hagan mucho daño.

💡 ¿Qué nos dicen al final?

Los autores nos dan un mensaje claro:

1. No podemos confiar ciegamente: Solo porque algo es "código abierto" y gratuito, no significa que sea seguro.
2. Necesitamos diseñar con seguridad: Los creadores de estas herramientas deben pensar en la seguridad desde el primer día, no como un parche al final.
3. Es un trabajo en equipo: Los investigadores ya avisaron a los creadores de las herramientas sobre sus errores para que los arreglen, pero la comunidad debe ser más cuidadosa al instalar estas "cajas de herramientas" en sus robots inteligentes.

En resumen: Hemos construido un sistema increíble para conectar robots con herramientas, pero hemos dejado muchas puertas abiertas. Este estudio es el aviso de los bomberos diciendo: "¡Oigan, hay demasiados incendios esperando a pasar! Necesitamos cerrar esas puertas antes de que alguien se queme".

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo "MCP-in-SoS: Risk assessment framework for open-source MCP servers" en español:

Resumen Técnico: MCP-in-SoS

1. El Problema

El Model Context Protocol (MCP), introducido por Anthropic en noviembre de 2024, se ha convertido rápidamente en un estándar abierto para conectar agentes de Modelos de Lenguaje (LLM) con herramientas y fuentes de datos externas. Aunque ofrece una arquitectura limpia y estandarizada, la rápida proliferación de servidores MCP de código abierto ha creado un nuevo vector de riesgo de seguridad.

El problema central identificado es la falta de una evaluación sistemática y a gran escala de las debilidades de seguridad en las implementaciones reales de servidores MCP. A diferencia de las aplicaciones cliente-servidor tradicionales con flujos de trabajo estáticos, los sistemas basados en MCP orquestan el flujo de control en tiempo real mediante el razonamiento del agente. Esto permite que fallos de implementación comunes se amplifiquen, permitiendo rutas de escalada de privilegios entre herramientas y comprometiendo recursos sensibles (sistemas de archivos, APIs con credenciales, etc.). Hasta este estudio, no existía una evaluación exhaustiva de las vulnerabilidades de código en servidores MCP de código abierto.

2. Metodología: MCP-in-SoS

Los autores proponen MCP-in-SoS, una tubería (pipeline) automatizada de cuatro etapas para detectar, normalizar y priorizar debilidades de seguridad en servidores MCP. El enfoque combina análisis estático de código con metadatos de seguridad estandarizados.

• Fase 1: Análisis de Código Estático
  Se escanean los repositorios utilizando tres analizadores:

  • CodeQL: Para identificar patrones de debilidad conocidos (inyecciones, deserialización insegura).
  • Joern: Se desarrollaron consultas específicas en Python alineadas con el Top 25 de CWE de 2025. Estas consultas se generaron y refinaron con ayuda de LLMs para mapear estructuras de grafos de propiedades de código (CPG) a debilidades específicas.
  • Cisco AI Defender MCP Scanner: Utilizado en un subconjunto como componente secundario para detectar comportamientos de riesgo y patrones maliciosos que podrían evadir reglas estáticas puras.

• Fase 2: Preparación de Metadatos
  Se integran dos bases de datos de referencia de MITRE:

  • CWE (Common Weakness Enumeration): Para identificar debilidades de software.
  • CAPEC (Common Attack Pattern Enumeration and Classification): Para mapear patrones de ataque asociados.
    Se calculan índices de riesgo basados en campos como la probabilidad de explotación (Likelihood of Exploit), consecuencias comunes y modos de introducción. Se manejan valores faltantes mediante imputación basada en jerarquías de categorías.

• Fase 3: Normalización
  Los resultados dispares de las herramientas se consolidan en un esquema común. Se eliminan duplicados y se mapean todas las hallazgos a identificadores CWE estandarizados, agregando las frecuencias por repositorio.

• Fase 4: Puntuación de Riesgo
  Se calcula un Índice de Riesgo (Risk Index) para cada hallazgo utilizando una fórmula conservadora:
  $$R(w) = \text{Likelihood}(w) \times \text{Impact}(w)$$
  Donde la probabilidad combina la probabilidad de ataque (CAPEC), la probabilidad de explotación (CWE) y los modos de introducción. El impacto se deriva de la severidad típica y las consecuencias comunes.
  Finalmente, se genera una puntuación de riesgo a nivel de repositorio ($R_{overall}$) que pondera la severidad de las debilidades encontradas y el volumen total de hallazgos, utilizando escalado logarítmico para evitar que repositorios con miles de hallazgos menores dominen la métrica.

3. Contribuciones Clave

• Evaluación a Gran Escala: Análisis de 222 repositorios públicos de servidores MCP en Python extraídos de GitHub.
• Tubería Reproducible: Un marco que combina analizadores estáticos (CodeQL, Joern) con asistencia de LLM para la extracción y normalización de hallazgos hacia clases CWE.
• Consultas Personalizadas: Un conjunto de 54 consultas Joern alineadas con el CWE Top 25 de 2025, específicamente diseñadas para servidores MCP en Python.
• Modelo de Puntuación de Riesgo: Un modelo impulsado por metadatos CWE-CAPEC que genera métricas de riesgo tanto a nivel de debilidad como de repositorio.
• Taxonomía de Superficies de Amenaza: Una clasificación alineada con MCP (Protocolo, Herramienta, Recurso, Prompt) y un análisis de co-ocurrencia condicional que revela cadenas de explotación multi-etapa.

4. Resultados Principales

• Prevalencia de Debilidades: El 86.0% (191 de 222) de los repositorios analizados contienen al menos una debilidad mapeada.
• Distribución de Riesgo: La mayoría de los repositorios caen en bandas de riesgo Alto o Muy Alto. Específicamente, el 47.6% se clasifica como Alto y el 18.3% como Muy Alto. Solo el 0.5% se considera de riesgo Muy Bajo.
• Debilidades Dominantes: Se identificaron 15,962 hallazgos en 51 clases CWE distintas. Las más comunes son:
  • CWE-862 (Falta de Autorización): 30.4% de los hallazgos.
  • CWE-200 (Exposición de Información Sensible): 15.9%.
  • CWE-306 (Falta de Autenticación): 15.3%.
  • CWE-89 (Inyección SQL): Aunque menos frecuente, tiene un índice de riesgo muy alto.
• Superficies de Amenaza: La superficie de Protocolo domina tanto en prevalencia (56.9% de los hallazgos) como en exposición de riesgo (57.1%), actuando como un multiplicador de alcance para otras vulnerabilidades.
• Cadenas de Explotación: El análisis de co-ocurrencia muestra que las debilidades raramente ocurren aisladamente. Se identificaron patrones críticos:
  • Las debilidades de Protocolo habilitan el acceso a debilidades de Herramienta (87% de co-ocurrencia) y Recurso (88%).
  • Las debilidades de Prompt (inyección de instrucciones) a menudo predicen la existencia de debilidades de Recurso (94%) y Protocolo, creando cadenas donde un atacante manipula al agente para acceder a datos sensibles.

5. Significado e Impacto

Este estudio es fundamental porque demuestra que el ecosistema emergente de MCP es inherentemente inseguro en su estado actual de desarrollo de código abierto.

• Alerta de Seguridad: La alta prevalencia de problemas de autenticación, autorización y exposición de datos sugiere que los despliegues de producción de agentes MCP sin una auditoría rigurosa están expuestos a compromisos significativos de confidencialidad, integridad y disponibilidad.
• Necesidad de "Secure-by-Design": Los resultados subrayan la urgencia de integrar prácticas de seguridad desde el diseño en el desarrollo de servidores MCP, en lugar de depender de parches posteriores.
• Marco de Referencia: La metodología propuesta y la taxonomía de amenazas ofrecen a la comunidad una base estandarizada para evaluar y mejorar la seguridad de los agentes de IA en el futuro.

El equipo ha comprometido a liberar todos los metadatos, tuberías de análisis y scripts en un repositorio público para fomentar la ciencia abierta y la reproducibilidad.