Resumen: El Protocolo de contexto del modelo (MCP) se ha convertido en un mecanismo ampliamente adoptado para conectar grandes modelos de idiomas con herramientas y recursos externos. Si bien MCP promete una extensibilidad perfecta e integraciones ricas, también introduce una superficie de ataque sustancialmente expandida: cualquier complemento puede heredar privilegios de sistema amplios con un aislamiento o supervisión mínima. En este trabajo, realizamos el primer análisis empírico a gran escala de los riesgos de seguridad MCP. Desarrollamos un marco de análisis estático automatizado y examinamos sistemáticamente 2.562 aplicaciones MCP del mundo real que abarcan 23 categorías funcionales. Nuestras mediciones revelan que las API de recursos de red y del sistema dominan los patrones de uso, que afectan a 1,438 y 1,237 servidores respectivamente, mientras que los recursos de archivo y memoria son menos frecuentes pero aún significativos. Encontramos que las herramientas de desarrollador y los complementos de desarrollo de API son los más intensivos en API, y que los complementos menos populares a menudo contienen operaciones desproporcionadamente de alto riesgo. A través de estudios de casos concretos, demostramos cómo la separación de privilegios insuficiente permite la escalada de privilegios, la propagación de información errónea y la manipulación de datos. Según estos hallazgos, proponemos una taxonomía detallada del acceso a los recursos de MCP, cuantifica el uso de la API relevante para la seguridad e identificamos desafíos abiertos para construir ecosistemas de MCP más seguros, incluidos modelos de permisos dinámicos y evaluación de confianza automatizada.
Publicado Originalme en export.arxiv.org El 9 de julio de 2025.
Ver Fuente Original
