Protocolo MCP de Anthropic: Seguridad para agentes de IA

En el entorno en rápida evolución de el desarrollo de agentes de IA personalizados, la fragmentación de las integraciones ha sido un cuello de botella durante mucho tiempo. Cada vez que un equipo de ingeniería quería que un modelo de lenguaje (LLM) accediera a una base de datos, un canal de Slack o un repositorio de GitHub, tenían que construir una capa de integración personalizada. Los cambios en el Protocolo de Contexto de Modelo (MCP) de Anthropic cambian este paradigma al proporcionar un estándar universal para conectar los sistemas de IA con fuentes de datos y herramientas.

Sin embargo, permitir que un LLM ejecute código, consulte bases de datos y modifique sistemas de archivos introduce riesgos de seguridad significativos. El problema del "Asistente Confuso"—donde una IA es engañada para realizar acciones no autorizadas mediante una solicitud maliciosa—se convierte en una vulnerabilidad crítica cuando se le proporcionan herramientas del mundo real.

Para directores de tecnología (CTOs) y ingenieros senior, el desafío ya no es soloconectar herramientas, sino protegerlas. Este artículo describe patrones arquitectónicos para implementar servidores MCP seguros, asegurando que sus agentes de IA empresariales sean robustos, cumplen con las normativas y son seguros.

El modelo de seguridad MCP: Una responsabilidad compartida

MCP opera con una arquitectura cliente-host-servidor. El MCP Host (por ejemplo, Claude Desktop, un IDE personalizado o una plataforma de agente interna) se conecta a los Servidores MCP (que exponen herramientas y recursos). El límite de seguridad se encuentra principalmente en el Servidor MCP.

Si bien el protocolo gestiona el transporte (JSON-RPC 2.0 a través de Stdio o SSE), no valida intrínsecamente la intentointención de una llamada de herramienta. Si un LLM solicita DROP TABLE users

Para lograr esto, debemos implementar estrategias de defensa en profundidad a nivel de servidor.

Patrón 1: The Gatekeeper (Validación estricta de esquema)

La primera línea de defensa es la validación estricta de las entradas. Nunca confíes ciegamente en la salida del LLM. Los servidores MCP suelen definir las herramientas utilizando esquemas JSON, pero los detalles de implementación son importantes. Al utilizar robustas bibliotecas de validación de datos como Pydantic en Python, podemos aplicar restricciones estrictas de tipado y lógica de negocio antes de que se ejecute cualquier código.

Implementación: Definición de Herramienta Segura

Aquí se presenta una implementación de una herramienta segura que utiliza el SDK de Python mcp(o similares fastmcp abstracciones) que aplica un control estricto de los directorios para prevenir ataques de acceso a directorios—una vulnerabilidad común en el desarrollo de agentes de IA personalizados.

from mcp.server.fastmcp import FastMCP
from pydantic import BaseModel, Field, ValidationError
import os
from pathlib import Path

# Initialize the secure server
mcp = FastMCP("SecureFileSystem")

# Define a strict configuration
ALLOWED_ROOT = Path("/var/app/safe_data").resolve()

class ReadFileArgs(BaseModel):
    filepath: str = Field(..., description="Relative path to the file to read.")

    def secure_path(self) -> Path:
        """
        Validates that the requested path is within the ALLOWED_ROOT.
        Prevents Path Traversal (e.g., ../../etc/passwd)
        """
        requested_path = (ALLOWED_ROOT / self.filepath).resolve()
        if not str(requested_path).startswith(str(ALLOWED_ROOT)):
            raise ValueError(f"Access denied: Path {self.filepath} is outside the allowed scope.")
        return requested_path

@mcp.tool()
def safe_read_file(args: ReadFileArgs) -> str:
    """
    Safely reads a file from the sandboxed directory.
    """
    try:
        # Validate and resolve path
        target_path = args.secure_path()
        
        if not target_path.exists():
            return "Error: File not found."
            
        return target_path.read_text()
        
    except ValidationError as e:
        return f"Validation Error: {e}"
    except ValueError as e:
        # Log this security event!
        print(f"SECURITY ALERT: {e}")
        return "Error: Access violation detected."
    except Exception as e:
        return f"System Error: {str(e)}"

if __name__ == "__main__":
    mcp.run()

Punto clave: El método secure_path garantiza que, incluso si el modelo de lenguaje inventa información o recibe una ruta maliciosa como ../../etc/passwd, la herramienta rechazará la solicitud antes de acceder al sistema de archivos.

Patrón 2: La Fortaleza (Aislamiento en Contenedor)

Ejecutar servidores MCP en la máquina local de un desarrollador o en un servidor de producción, es arriesgado. Si una herramienta tiene una vulnerabilidad (por ejemplo, subprocess.run con entrada no validada), un atacante podría obtener acceso al shell.

Para la ingeniería de productos de alta seguridad, los servidores MCP deben implementarse como contenedores efímeros e aislados. Esto limita el "potencial de daño" en caso de cualquier compromiso.Los servidores MCP deben implementarse como contenedores efímeros e aislados. Esto limita el impacto de cualquier posible vulneración.

Docker Compose para MCP

Puede implementar su suite de servidores MCP utilizando Docker. Esto garantiza que el agente solo tenga acceso a los recursos de red y volumen específicos definidos en el contenedor.

services:
  mcp-postgres-agent:
    build: ./agents/postgres-agent
    environment:
      - DATABASE_URL=postgres://user:pass@db:5432/read_only_replica
    networks:
      - secure_db_net
    deploy:
      resources:
        limits:
          cpus: '0.50'
          memory: 256M
    # Security: Read-only root filesystem
    read_only: true
    volumes:
      - type: tmpfs
        target: /tmp

networks:
  secure_db_net:
    internal: true # No internet access for this agent

Al configurar internal: true, garantizamos que el servidor MCP no pueda transferir datos a internet público, una medida crucial para el cumplimiento de la IA en empresas.

Patrón 3: El interruptor humano (Participación humana)

Para acciones destructivas (operaciones CRUD como Crear, Actualizar, Eliminar), la confianza algorítmica es insuficiente. Necesitas un patrón de "Human-in-the-Loop" (HITL).

Mientras que MCP se centra actualmente en el transporte, el cliente que implementa (el "Host") debe encargarse del consentimiento. Sin embargo, el Servidor puede hacer cumplir un modo de "Prueba" o requerir un token de confirmación para las operaciones sensibles.

Un patrón sólido es elTwo-Phase Commit para herramientas:

1. Fase 1: Llamadas con LLM plan_delete_resource(id). El servidor devuelve un resumen y un token_de_confirmación generado.
2. Fase 2: El LLM debe presentar el token_de_confirmación a execute_delete_resource(id, token).

Idealmente, el host MCP (la interfaz) intercepta la llamada de la herramienta y presenta un diálogo de "Aprobar/Rechazar" al usuario antes de enviar la solicitud al servidor.

Patrón 4: Principio del privilegio mínimo (Nivel de infraestructura)

Cuando configures Cloud Engineering los recursos para tus servidores de MCP, evita el uso de claves de API genéricas "Admin".

• Herramientas de base de datos: Cree un usuario de base de datos específico con SELECT solo permisos para herramientas de consulta. Cree un usuario separado con permisos de escritura solo para tablas específicas para herramientas de mutación.
• Credenciales de AWS/GCP: Utilice roles de IAM con permisos granulares (por ejemplo, s3:GetObject en un bucket específico únicamente), en lugar de permisos de S3FullAccess.

Monitoreo y Observabilidad

La seguridad no es un estado; es un proceso. Debes registrar la ejecución de cada herramienta, los argumentos proporcionados por el LLM y el resultado. Esto crea un registro de auditoría que es esencial para la depuración y el cumplimiento.

import logging

# Configure structured logging
logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(name)s - %(levelname)s - %(message)s')
logger = logging.getLogger("audit_log")

@mcp.tool()
def execute_query(query: str):
    logger.info(f"TOOL_EXECUTION: query_db | ARGS: {query} | USER: {get_current_context().user}")
    # ... execution logic ...

Conclusión

El Protocolo de Contexto del Modelo representa un avance significativo en la estandarización del desarrollo de agentes de IA personalizados. Sin embargo, la facilidad de conexión no debe comprometer la seguridad. Al implementar una validación estricta de Pydantic, contenerizar sus servidores MCP y adherirse al principio del privilegio mínimo, puede crear sistemas autónomos que sean tanto potentes como seguros.

En 4Geeks, nos especializamos en la ingeniería de productos de alta gama y en la ingeniería de IA, y ayudamos a empresas del "Global 2000" y startups financiadas a construir una infraestructura de IA segura y escalable que aprovecha protocolos de vanguardia como MCP, sin comprometer la seguridad o el cumplimiento.Ingeniería de Inteligencia Artificial. Ayudamos a empresas del "Global 2000" y a startups financiadas a construir una infraestructura de IA segura y escalable que aproveche protocolos de vanguardia como MCP, sin comprometer la seguridad ni el cumplimiento normativo.

Si está buscando implementar agentes de IA de nivel empresarial, 4Geeks es su socio para la innovación segura.

Preguntas frecuentes