Abrió el README y perdió un servidor: Anthropic quiso facilitar la vida a los desarrolladores y por error entregó a los hackers las claves de sus sistemas.
En la búsqueda de eficiencia, simplemente han olvidado la higiene digital básica.
En el servidor oficial de Git Model Context Protocol (MCP), desarrollado por Anthropic, se han detectado tres vulnerabilidades que permiten acceder a archivos arbitrarios, eliminarlos y ejecutar código. Los problemas afectaron a un componente llamado mcp-server-git — un servidor en Python diseñado para trabajar con repositorios Git mediante modelos de lenguaje.
Según la evaluación de los especialistas de Cyata, las vulnerabilidades pueden explotarse mediante la inserción de indicaciones maliciosas. Se trata de situaciones en las que un atacante influye en el contenido con el que interactúa un asistente basado en IA — por ejemplo, al abrir un archivo README, la descripción de una tarea o una página web comprometida. Este enfoque permite aprovechar las vulnerabilidades sin acceso directo al sistema de la víctima.
Los problemas detectados se corrigieron en actualizaciones de septiembre y diciembre de 2025 tras la notificación a los desarrolladores en el verano de ese mismo año. La primera de las vulnerabilidades, identificada como CVE-2025-68143, se debía a la falta de verificación de rutas en la herramienta git_init. Esta aceptaba valores arbitrarios de ruta al crear un repositorio, lo que permitía a un atacante alcanzar cualquier directorio. Este fallo obtuvo una puntuación de 8.8 según CVSS 3.0.
La segunda vulnerabilidad, CVE-2025-68144, afectaba a las funciones git_diff y git_checkout, que pasaban los parámetros de entrada directamente a los comandos de Git sin saneamiento. Esto abría la posibilidad de inyección de comandos — su puntuación fue de 8.1 en la misma escala.
El tercer problema, CVE-2025-68145, volvía a relacionarse con el manejo incorrecto de rutas: al usar la bandera --repository no se realizaba una comprobación que limitara las operaciones a un directorio concreto. Esta vulnerabilidad fue valorada en 7.1.
En un ataque exitoso es posible reemplazar cualquier archivo, convertir un directorio arbitrario en un repositorio Git y también obtener acceso a otros repositorios en el servidor. Según los especialistas, las vulnerabilidades se pueden combinar para ejecutar código arbitrario. En particular, es posible modificar el archivo de configuración del repositorio, crear un filtro malicioso y activarlo mediante la llamada git_add, lo que finalmente conduce a la ejecución del script incrustado.
Tras el análisis de amenazas los desarrolladores eliminaron la herramienta git_init del paquete y reforzaron las comprobaciones que impiden eludir las rutas. Se recomienda encarecidamente a los usuarios actualizar la biblioteca a la versión más reciente.
El equipo de Cyata subraya que se trata de un servidor que es la implementación de referencia del protocolo MCP, en la que se basan otros desarrolladores. Las vulnerabilidades que funcionan sin condiciones especiales indican la necesidad de una revisión más profunda de todo el ecosistema MCP.