Las herramientas oficiales de Git de Anthropic revelan tres vulnerabilidades principales, la inyección de prompts podría provocar la ejecución remota de código

La herramienta oficial mcp-server-git mantenida por Anthropic ha sido revelada con tres vulnerabilidades de seguridad graves que pueden ser explotadas remotamente mediante inyección de palabras clave, sin que los atacantes necesiten acceder directamente al sistema de la víctima. Solo con un archivo README malicioso o una página web comprometida, se puede activar la vulnerabilidad. Lo más peligroso es que, si estas vulnerabilidades se combinan con el servidor MCP del sistema de archivos, los atacantes podrían ejecutar código arbitrario. Anthropic asignó un número CVE y lanzó parches de corrección el 17 de diciembre de 2025, por lo que se recomienda a los usuarios actualizar inmediatamente.

Detalles técnicos de las tres vulnerabilidades

Principio de funcionamiento del ataque

Según el análisis de la organización de seguridad Cyata, el núcleo de estas vulnerabilidades radica en la insuficiente validación de los parámetros de entrada en mcp-server-git. Específicamente:

• Defecto en la validación de rutas: El parámetro repo_path no realiza una validación efectiva, permitiendo a los atacantes crear repositorios Git en cualquier directorio del sistema, rompiendo las barreras de seguridad existentes.
• Abuso de archivos de configuración: Los atacantes pueden configurar filtros de limpieza (clean filter) en el archivo .git/config, permitiendo la ejecución de comandos Shell arbitrarios sin permisos de ejecución.
• Riesgo de inyección de parámetros: La gestión inadecuada de los parámetros en comandos como git_diff abre la puerta a ataques de inyección.

Nueva amenaza por inyección de palabras clave

La particularidad de estas vulnerabilidades radica en la discreción del método de ataque. Los atacantes no necesitan comprometer directamente el sistema, sino que pueden activar la vulnerabilidad mediante:

• Incluir instrucciones especiales en archivos README maliciosos
• Aprovechar contenido web comprometido
• Utilizar las características de procesamiento de entrada de modelos de lenguaje grandes (LLMs)

Cuando los usuarios o sistemas de IA procesan estos contenidos, las instrucciones maliciosas se ejecutan, desencadenando la cadena de vulnerabilidades.

Riesgos combinados y daños potenciales

La peligrosidad de una sola vulnerabilidad es limitada, pero si se combinan estas tres con el servidor MCP del sistema de archivos, los atacantes podrían lograr:

• Ejecución de código arbitrario
• Eliminación de archivos del sistema
• Lectura de contenido de archivos en el contexto del modelo de lenguaje grande

Esto significa que los atacantes podrían obtener control total del sistema o robar datos sensibles. Para empresas y particulares que utilizan herramientas de Anthropic para desarrollo o despliegue, esto representa una amenaza de seguridad grave.

Soluciones y recomendaciones

Anthropic asignó un número CVE y publicó parches de corrección el 17 de diciembre de 2025. La recomendación oficial es:

• Actualizar inmediatamente mcp-server-git a la versión 2025.12.18 o superior
• Verificar si existen configuraciones sospechosas en .git/config en el sistema
• Auditar los registros de operaciones recientes en repositorios Git y archivos
• Para sistemas críticos, realizar pruebas exhaustivas antes de la actualización

Resumen

Este incidente refleja los desafíos de seguridad en el rápido desarrollo de herramientas de IA. Como líder en la industria, la aparición de estas vulnerabilidades en las herramientas oficiales de Anthropic nos recuerda que, incluso en proyectos mantenidos por equipos especializados, la auditoría de seguridad continua es esencial. La inyección de palabras clave, como una nueva forma de ataque, se está convirtiendo en una amenaza común en el ecosistema de IA y requiere atención de toda la industria. Para los desarrolladores, actualizar a tiempo, realizar auditorías periódicas y mantener una conciencia de seguridad son imprescindibles.