Investigadores revelan vulnerabilidades críticas en la implementación oficial del “Model Context Protocol” (MCP) que permitirían a un atacante engañar a un asistente de IA para borrar archivos o ejecutar comandos sin acceso directo.
La promesa de los asistentes de IA autónomos es que pueden interactuar con nuestras herramientas de desarrollo. La pesadilla es que lo hagan mal. Hoy, 20 de enero de 2026, se reporta el descubrimiento de tres vulnerabilidades de alta severidad en el paquete mcp-server-git, el servidor oficial mantenido por Anthropic que permite a los Modelos de Lenguaje (LLMs) manipular repositorios Git.
El peligro real de estos fallos no es técnico, sino operativo: pueden ser explotados indirectamente. Un atacante no necesita acceso a tu terminal; solo necesita que tu IA lea un archivo “envenenado” (como un README malicioso en un repositorio público) para que el asistente se convierta en el verdugo de tu sistema.
Los Tres Fallos (CVEs)
Las vulnerabilidades afectan a las versiones anteriores a 2025.12.18 del paquete.
- CVE-2025-68143 (CVSS 8.8 – Crítica):
- El Problema: Vulnerabilidad de Path Traversal. La herramienta git_init aceptaba rutas del sistema de archivos sin validación.
- El Impacto: Un atacante podía instruir a la IA para inicializar un repositorio Git en cualquier directorio del sistema (incluyendo carpetas críticas del sistema operativo), potencialmente sobrescribiendo configuraciones sensibles.
- Estado: Corregido (herramienta git_init eliminada por completo).
- CVE-2025-68144 (CVSS 8.1):
- El Problema: Inyección de Argumentos. Las funciones git_diff y git_checkout pasaban los argumentos del usuario directamente a la línea de comandos de Git sin sanitizar.
- El Impacto: Permitía manipular los comandos git para ejecutar acciones no deseadas, como sobrescribir archivos arbitrarios con un “diff” vacío.
- CVE-2025-68145 (CVSS 7.1):
- El Problema: Otro fallo de Path Traversal, esta vez relacionado con la falta de validación al usar la bandera –repository para restringir operaciones.
- El Impacto: Permitía al atacante escapar de la carpeta restringida y acceder a cualquier repositorio en el servidor.
La Cadena de Ataque (“Kill Chain”)
Los investigadores demostraron un escenario de ataque escalofriante combinando estos fallos con un servidor MCP de sistema de archivos:
- El Cebo: El atacante coloca instrucciones ocultas en un “Issue” de GitHub o un archivo README.
- La Inyección: Cuando el desarrollador pide a la IA que “resuma este repo”, la IA lee las instrucciones ocultas (Prompt Injection).
- La Ejecución: La IA, siguiendo las órdenes inyectadas, utiliza las vulnerabilidades para escribir un archivo de configuración .git/config malicioso y luego dispara git_add. Esto ejecuta un script oculto en la máquina del desarrollador, logrando Ejecución Remota de Código (RCE).
¿Qué significa esto para el ecosistema MCP?
Se advierte que esto es solo la punta del iceberg. Al ser esta la “implementación de referencia” que otros desarrolladores copian, es probable que estas vulnerabilidades se hayan replicado en otras herramientas de IA. “Si los límites de seguridad se rompen incluso en la implementación oficial, es una señal de que todo el ecosistema MCP necesita un escrutinio más profundo”.
Recomendación
Si utilizas mcp-server-git o herramientas derivadas para conectar tus LLMs (como Claude o ChatGPT) con tus repositorios locales:
- Actualiza inmediatamente el paquete a la versión más reciente (posterior a 2025.12.18).
- Limita el alcance: Ejecuta estas herramientas en entornos aislados (contenedores o sandboxes) con acceso de lectura estricto, nunca con permisos de escritura sobre sistemas de archivos críticos.
