Una vulnerabilidad crítica en Flowise y múltiples frameworks de IA ha sido descubierta por OX Security, exponiendo a millones de usuarios a la ejecución remota de código (RCE). La falla proviene del Model Context Protocol (MCP), un estándar de comunicación ampliamente utilizado para agentes de IA desarrollado por Anthropic. 

Una vulnerabilidad crítica en Flowise y múltiples frameworks de IA ha sido descubierta por OX Security, exponiendo a millones de usuarios a la ejecución remota de código (RCE).

La fallo proviene del Model Context Protocol (MCP), un estándar de comunicación ampliamente utilizado para agentes de IA desarrollado por Anthropic.

A diferencia de un error de software típico, esta vulnerabilidad surge de una decisión de diseño arquitectónico integrada en los SDKs oficiales de MCP de Anthropic en Python, TypeScript, Java y Rust.

Cualquier desarrollador que construya sobre la base del MCP hereda sin saberlo esta exposición, lo que significa que la superficie de ataque no se limita a una sola plataforma, sino que se extiende por toda la cadena de suministro de IA.

Fallo arquitectónico en el núcleo del MCP

La vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios en sistemas vulnerables, otorgando acceso directo a datos sensibles de usuarios, bases de datos internas, claves API e historiales de chat.

OX Security logró ejecutar comandos en vivo en seis plataformas de producción durante su investigación. Flowise, un popular constructor de flujos de trabajo de IA de código abierto, está entre las plataformas más afectadas.

Los investigadores identificaron un vector de ataque de "bypass de endurecimiento" contra Flowise, demostrando que incluso entornos configurados con protecciones adicionales siguen siendo explotables a través de las interfaces de adaptadores MCP.

El alcance del impacto es alarmante: más de 150 millones de descargas, más de 7.000 servidores accesibles públicamente y un estimado de 200.000 instancias vulnerables en todo el ecosistema.

Hasta ahora se han emitido al menos diez CVE, que cubren vulnerabilidades críticas en plataformas como LiteLLM, LangChain, GPT Researcher, Windsurf, DocsGPT y LangFlow de IBM.

Se confirmaron cuatro familias distintas de explotación:

• Inyección no autenticada en la interfaz de usuario de frameworks de IA populares.
• Bypass de endurecimiento en entornos "protegidos" como Flowise.
• Inyección de prompts de cero clics en IDEs de IA como Windsurf y Cursor.
• Distribución de servidores MCP maliciosos: 9 de cada 11 registros de MCP fueron envenenados con éxito durante las pruebas.

Anthropic rechaza una solución a nivel de protocolo

OX Security recomendó repetidamente parches a nivel raíz a Anthropic que habrían protegido a millones de usuarios downstream.

Anthropic declinó, calificando el comportamiento como "esperado". La empresa no objetó cuando se le notificó la intención de los investigadores de publicar sus hallazgos.

Los equipos de seguridad deben tomar medidas inmediatas:

• Bloquea la exposición pública a Internet de servicios de IA conectados a APIs o bases de datos sensibles.
• Trata toda entrada de configuración MCP externa como no confiable y restringe que la entrada del usuario llegue a StdioServerParameters.
• Instala servidores MCP solo desde fuentes verificadas, como el Registro oficial de MCP en GitHub.
• Ejecuta servicios habilitados para MCP dentro de entornos sandbox con permisos mínimos.
• Monitorea las invocaciones de herramientas de agentes de IA para detectar actividad saliente inesperada.
• Actualiza todos los servicios afectados a sus versiones parcheadas más recientes de inmediato.

OX Security ha implementado protecciones a nivel de plataforma para sus clientes, marcando las configuraciones MCP de STDIO que incluyen entrada de usuario como hallazgos de remediación accionables.