Las herramientas oficiales de Git de Anthropic revelan tres vulnerabilidades críticas, el asistente de IA se convierte en un trampolín para ataques de hackers

Anthropic mantenido mcp-server-git presenta tres vulnerabilidades de seguridad graves que pueden ser explotadas mediante inyección de indicaciones, logrando una cadena de ataque completa desde acceso a archivos arbitrarios hasta ejecución remota de código. Estas vulnerabilidades fueron corregidas a finales de 2025, pero nos recuerdan que la protección de la seguridad en la cadena de herramientas de IA aún está lejos de estar perfeccionada.

Detalles técnicos de las tres vulnerabilidades de alto riesgo

Los tres fallos divulgados por el investigador de seguridad Cyata son:

La integridad de la cadena de ataque

Lo más peligroso de estas vulnerabilidades es que pueden combinarse. Debido a que mcp-server-git no valida las rutas en el parámetro repo_path, un atacante puede crear repositorios Git en cualquier directorio del sistema. Combinando esto con la vulnerabilidad de inyección de parámetros en git_diff, el atacante puede configurar filtros de limpieza en .git/config y ejecutar comandos Shell sin necesidad de permisos de ejecución.

Nueva amenaza por inyección de indicaciones

Lo que hace únicas a estas vulnerabilidades es que pueden ser weaponizadas mediante inyección de indicaciones. El atacante no necesita acceder directamente al sistema víctima, basta con controlar que el asistente de IA lea contenido malicioso para activar la vulnerabilidad. Específicamente, mediante archivos README maliciosos o páginas web dañadas, se puede hacer que asistentes de IA como Claude ejecuten instrucciones maliciosas sin querer durante su procesamiento.

Si estas vulnerabilidades se combinan con el servidor MCP del sistema de archivos, el atacante puede ejecutar código arbitrario, eliminar archivos del sistema o leer contenidos de archivos en el contexto del modelo de lenguaje grande, causando filtraciones de datos graves y daños al sistema.

La solución de Anthropic

Tras obtener el número CVE el 17 de diciembre de 2025, Anthropic actuó rápidamente y lanzó un parche de corrección el 18 de diciembre del mismo año. Las medidas oficiales incluyen:

• Eliminación de la herramienta git_init problemática
• Mejora en los mecanismos de validación de rutas
• Optimización de la lógica de validación de parámetros

Según las últimas noticias, los usuarios deben actualizar mcp-server-git a la versión 2025.12.18 o superior para obtener protección de seguridad.

Lecciones sobre la seguridad en la cadena de herramientas de IA

Este incidente revela un problema más amplio: a medida que la IA se integra en cada vez más herramientas de desarrollo, la complejidad de la protección de seguridad aumenta significativamente. MCP (Model Context Protocol), como puente entre IA y herramientas del sistema, tiene una seguridad que afecta directamente a toda la infraestructura.

Desde un punto de vista técnico, cuando un asistente de IA puede invocar herramientas del sistema, cada vulnerabilidad de esas herramientas puede amplificarse. La inyección de indicaciones, como vector de ataque, hace que los controles de acceso y gestión de permisos tradicionales sean ineficaces.

Resumen

Las tres vulnerabilidades críticas corregidas por Anthropic nos recuerdan que la seguridad en la cadena de herramientas de IA debe considerarse desde la fase de diseño. Aunque la respuesta rápida y las correcciones oficiales son positivas, lo más importante es que toda la industria establezca mecanismos de auditoría de seguridad más completos. Para los desarrolladores que usan mcp-server-git, actualizar inmediatamente a la versión más reciente es una acción necesaria. Esto también indica que, a medida que la IA se profundiza en las herramientas de desarrollo, el alcance de las vulnerabilidades de seguridad será cada vez mayor, requiriendo mayor atención e inversión.