Hay una ironía incómoda en el ecosistema de la inteligencia artificial agéntica. Model Context Protocol (MCP), el estándar creado por Anthropic en noviembre de 2024 para que los modelos de lenguaje se conecten con bases de datos, APIs y sistemas de archivos, ya mueve más de 97 millones de descargas mensuales del SDK y 5,800 servidores activos.
OpenAI, Google y Microsoft lo adoptaron. Pero mientras todos corren a integrarlo, casi nadie está revisando qué hay dentro de los paquetes que instalan.
El desarrollador weiseer lo hizo. Escaneó 200 paquetes populares de servidores MCP con su herramienta mcp-doctor y los resultados no son alentadores.
Solo 138 pasaron la auditoría (69%). El 29% recibió advertencias. Pero tres paquetes fueron bloqueados directamente: uno contenía una API key de Anthropic hardcodeada en su código fuente JavaScript, y otros dos eran typosquats, paquetes con nombres casi idénticos a servidores oficiales, diseñados para engañar a desarrolladores distraídos.
El autor notificó al maintainer del paquete con la key expuesta. Tiene hasta el 6 de junio de 2026 para rotarla. El nombre del paquete se mantiene en privado por política de divulgación responsable.
Pero quizás lo más revelador es el estado de los servidores oficiales del propio Anthropic. Seis paquetes bajo el namespace @modelcontextprotocol, los que aparecen en prácticamente todos los tutoriales de MCP, llevan entre 382 y 550 días sin una sola actualización. Ninguno tiene repositorio público, así que verificar qué hay en su código fuente es imposible.
Si dependes de alguno en producción, el consejo de weiseer es claro: haz mirror del código fuente hoy mismo.
Estos hallazgos no ocurren en el vacío. 2026 ha sido un año brutal para la seguridad del ecosistema MCP. En abril, el CVE MCPwn (CVE-2026-33032, CVSS 9.8) permitió tomar control total de 2,689 servidores Nginx a través de un endpoint MCP sin autenticación.
En mayo, el gusano npm Shai-Hulud robó tokens MCP y credenciales cloud de más de 172 paquetes, incluyendo Axios, con 100 millones de descargas semanales, y el ecosistema AntV de Alibaba con 323 paquetes comprometidos.
MCPSafe encontró bugs de severidad alta en servidores oficiales de Atlassian, GitHub, Cloudflare y Microsoft. Y por si fuera poco, la propia arquitectura del protocolo tiene una falla “by design” que permite ejecución remota de código en más de 7,000 servidores con 150 millones de descargas. Anthropic se negó a modificarla, calificándola como “comportamiento esperado”.
Mientras tanto, las soluciones de seguridad están llegando desde fuera. Perplexity liberó Bumblebee, un scanner open-source que revisa máquinas de desarrollo en busca de paquetes comprometidos, extensiones maliciosas y configuraciones MCP infectadas — sin ejecutar el código sospechoso.
El patrón es claro. MCP hereda las capacidades completas de las aplicaciones que expone, pero no sus controles de seguridad. Y con cada nuevo agente de IA que conectamos, la superficie de ataque crece más rápido que las defensas.