0.0.0.0 El día ha vuelto: cómo un viejo error vulnera la protección de la inteligencia artificial más reciente

La empresa Anthropic se enfrentó a una grave vulnerabilidad en uno de sus proyectos destinados a trabajar con inteligencia artificial. El problema descubierto en la herramienta Model Context Protocol (MCP) Inspector recibió el identificador CVE-2025-49596 y una calificación de 9,4 sobre 10 en la escala CVSS, lo que indica su peligrosidad crítica. La vulnerabilidad permite la ejecución remota de código arbitrario en los dispositivos de los desarrolladores, lo que abre la puerta al control total de sus sistemas.

Según señalan los especialistas de la empresa Oligo Security, este es uno de los primeros casos de una amenaza tan grave en el ecosistema MCP de Anthropic. Subrayan que la brecha descubierta demuestra una nueva categoría de ataques a través de navegadores, dirigidos a herramientas para desarrolladores que trabajan con inteligencia artificial. Si un atacante logra explotar la vulnerabilidad, podrá robar datos, instalar programas ocultos y desplazarse por la red interna de la empresa o del proyecto.

El propio protocolo MCP fue presentado por Anthropic en noviembre de 2024. Fue desarrollado como un estándar abierto para la interacción de aplicaciones basadas en grandes modelos de lenguaje (LLM) con fuentes de datos externas y herramientas. MCP Inspector es una herramienta auxiliar para desarrolladores que permite probar y depurar servidores que funcionan con el protocolo MCP. La herramienta consta de un cliente con interfaz interactiva y un servidor proxy que proporciona la conexión entre la interfaz web y los diferentes servidores MCP.

Sin embargo, la característica clave de esta herramienta, que consiste en la capacidad de ejecutar procesos locales y conectarse a servidores MCP arbitrarios, requiere una restricción estricta de acceso. Por defecto, el servidor no debe estar accesible desde redes no confiables. No obstante, las configuraciones estándar de la herramienta no consideraban esto: carecían de autenticación y cifrado, lo que ampliaba considerablemente la superficie potencial de ataque.

Los especialistas explicaron que esta configuración permite a cualquier usuario de la red local, o incluso de Internet externo, interactuar con servidores MCP vulnerables y explotarlos. El ataque en sí se basa en la combinación de varios factores: un defecto conocido en los navegadores modernos, denominado "0.0.0.0 Day", y una vulnerabilidad CSRF en Inspector. Como resultado, basta con abrir un sitio web malicioso para que se ejecute código arbitrario en el dispositivo del desarrollador.

La esencia de la vulnerabilidad "0.0.0.0 Day" radica en que los navegadores procesan incorrectamente la dirección IP 0.0.0.0, lo que permite a los atacantes, a través de sitios web especialmente preparados, atacar los servicios locales del usuario. Si MCP Inspector se ejecuta en su configuración estándar, su servidor proxy escucha en el puerto 6277 en todas las direcciones IP disponibles, incluida la interfaz local 127.0.0.1. A través de este punto vulnerable, un sitio malicioso puede enviar solicitudes al servicio local y ejecutar comandos arbitrarios en el dispositivo.

También se señala que para potenciar el ataque se puede aplicar la técnica de falsificación de registros DNS (DNS rebinding), que permite eludir los medios de protección estándar y lograr la ejecución remota de código.

Después de que los especialistas notificaran a los desarrolladores de Anthropic sobre el problema en abril de 2025, a mediados de junio se lanzó la actualización MCP Inspector versión 0.14.1. En la nueva versión se añadió la verificación de la autenticidad y el origen de las solicitudes, lo que complica significativamente la posibilidad de explotar la vulnerabilidad. Ahora, el servidor verifica los encabezados Host y Origin, y también requiere autorización, lo que bloquea ataques de tipo DNS rebinding y CSRF.

Mientras tanto, en otros productos de Anthropic se descubrieron debilidades adicionales. En particular, la empresa Trend Micro informó sobre una vulnerabilidad sin corregir en el servidor SQLite MCP, que permite inyectar indicaciones maliciosas, robar datos y controlar las acciones de los agentes de IA. Los especialistas destacan que estos ataques son peligrosos porque los sistemas de inteligencia artificial a menudo confían plenamente en los datos internos sin verificar su origen.

Además, el equipo de Backslash Security informó sobre la propagación masiva de servidores MCP vulnerables configurados incorrectamente. Estos servidores permiten ejecutar comandos arbitrarios debido al procesamiento incorrecto de los datos entrantes, así como por estar vinculados a la dirección IP 0.0.0.0, lo que los hace accesibles para todos en la red local.

Los especialistas presentan un escenario simple pero ilustrativo: si un desarrollador ejecuta un servidor MCP vulnerable en un espacio de coworking o cafetería, cualquier persona cercana puede conectarse a él y obtener el control total del sistema. Dado que los servidores MCP, por su naturaleza, intercambian datos con fuentes externas, también son posibles ataques mediante sustitución de contexto e inyección encubierta de comandos.

Según señalan los especialistas, la protección más eficaz puede ser la implementación de reglas de comportamiento claras para los agentes de IA, para que puedan identificar de forma autónoma los datos sospechosos y rechacen su uso. Este enfoque, aunque requiere esfuerzos adicionales, permite minimizar el riesgo de ataques a la infraestructura construida en torno a MCP.

Anthropic subraya que el proyecto MCP Inspector se posiciona como una demostración y no se recomienda su uso en entornos de producción. Sin embargo, durante el tiempo de existencia del proyecto, el repositorio en GitHub se clonó más de 5.000 veces. Tras identificarse graves deficiencias, el proyecto fue oficialmente congelado y archivado el 29 de mayo de 2025. No se planean nuevas actualizaciones para él.