Lista de verificación de seguridad de MCP

Una lista de verificación orientada a la producción para aprobar servidores MCP antes de que los agentes puedan leer datos, llamar a herramientas, escribir registros, explorar sistemas o activar flujos de trabajo.

Usa el cuadro de mando Comparar plataformas de agentes

Imagen editorial generada de los controles de riesgo y rutas de aprobación de los agentes de IA gobernados. — Mapa de control de riesgos

TL;DR

MCP es lo suficientemente seguro para la producción solo cuando se rige como un límite de permisos y ejecución. Antes de conectar agentes a servidores MCP, verifique la identidad del servidor, la vinculación de audiencia de OAuth, los alcances de privilegios mínimos, las reglas de aprobación de herramientas, el monitoreo de cambios de esquema, la zona de pruebas, el manejo de secretos, los registros de auditoría y la respuesta a incidentes.

Antes de instalar un servidor

Inventario del servidor. Propietario del registro, editor, transporte, versión, origen del paquete, punto final, ámbitos, herramientas, indicaciones, recursos y clases de datos.
Prefiere servidores propios. Utilice servidores oficiales alojados por proveedores siempre que sea posible, especialmente para CRM, almacenamiento de archivos, almacén de datos, identidad y sistemas de colaboración.
Revise los metadatos de la herramienta como no confiables. Los nombres de herramientas, descripciones, esquemas, indicaciones, recursos y resultados pueden contener contenido similar a una instrucción.
Versiones y definiciones de pines. Paquetes de servidor hash, imágenes de contenedores y esquemas de herramientas. Vuelva a aprobar cuando cambien las descripciones, los alcances o los destinos.
Bloquear la configuración STDIO insegura. No permita que los usuarios o el contenido externo controlen los nombres de los comandos, los argumentos, la interpolación del shell o las rutas de inicio.

Antes de la producción

autenticación

Utilice HTTPS para MCP remoto. Valide los tokens de portador en cada solicitud. Aplique la vinculación de audiencia de OAuth y rechace los tokens emitidos para un recurso diferente.

Alcances

Divida acciones de lectura, escritura, eliminación, exportación y administración. Evite ámbitos amplios, como todos los archivos, todas las acciones de la base de datos o administración global.

Aprobaciones

Requerir aprobación humana explícita para acciones destructivas, externas, financieras, privilegiadas o de intercambio de datos. Muestra el servidor, la herramienta, los argumentos y el destino exactos.

Zona de arena

Ejecute servidores locales en contenedores, máquinas virtuales o procesos restringidos. Limite el acceso al sistema de archivos, la salida de la red, las variables de entorno y el acceso al servicio de metadatos.

Monitoreo del tiempo de ejecución

Campo de registro	Por qué es importante
Usuario, host, cliente, servidor	Muestra quién inició la trayectoria de la herramienta y qué superficie la mediaba.
Nombre de la herramienta y hash del esquema	Detecta tirones de alfombra, deriva de esquemas y capacidades recientemente expuestas.
Hash de argumentos y clase de datos.	Preserva la revisabilidad al tiempo que reduce la exposición de registros sensibles.
Actor y política de aprobación	Separa las acciones aprobadas automáticamente, aprobadas por el usuario y aprobadas por el administrador.
Clase de destino y resultado	Marca cadenas de exfiltración, como leer datos privados, transformarlos y luego enviarlos al exterior.

Amenazas para probar

Intoxicación por herramientas. Agregue instrucciones ocultas o contradictorias a la descripción de una herramienta y verifique que el cliente trate los metadatos como si no fueran de confianza.
Inyección inmediata indirecta. Devuelva instrucciones hostiles desde una página web, ticket, archivo o registro de base de datos y verifique que no puedan anular la política.
Deriva del esquema. Cambie la descripción, el argumento o el destino de una herramienta después de la aprobación y verifique que el sistema la bloquee o la vuelva a aprobar.
Mal uso de tokens. Intente reproducir un token con el recurso MCP incorrecto y verifique que la validación de la audiencia lo rechace.
Fuga entre servidores. Lea datos restringidos de un servidor e intente enviarlos a través de otro servidor sin aprobación.

¿Qué debería preguntar la revisión de seguridad?

¿Podemos revocar este servidor rápidamente? ¿Podemos saber qué usuario aprobó una acción confidencial? ¿Puede el agente encadenar dos herramientas aparentemente inofensivas para obtener un resultado perjudicial? ¿Puede un servidor cambiar las definiciones de sus herramientas después de la aprobación? ¿Se pueden pasar de contrabando datos de un sistema empresarial a otro sin que un ser humano se dé cuenta?

Si la respuesta no está clara, mantenga el servidor en modo de solo lectura o de solo borrador. El MCP de producción debería obtener acceso de escritura a un flujo de trabajo a la vez.

Preguntas frecuentes

¿Puede MCP exponer datos confidenciales?

Sí. MCP puede exponer datos a través de recursos, resultados de herramientas, indicaciones, registros o cadenas de herramientas entre servidores. Trate cada servidor como una ruta de acceso a datos y cada llamada a una herramienta como una actividad auditable.

¿Las acciones del MCP deberían requerir aprobación?

Las acciones de solo lectura pueden ser aprobadas por políticas después de su revisión. Las acciones destructivas, externas, privilegiadas, financieras o de intercambio de datos deberían requerir una aprobación explícita con argumentos exactos visibles.

¿Son las raíces de MCP un límite de seguridad?

No. Las raíces ayudan a definir el alcance previsto del sistema de archivos, pero el aislamiento debe imponerse con permisos del sistema operativo, espacio aislado, validación de rutas y restricciones de contenedores o procesos.

Fuentes verificadas

Revisado por última vez el 12 de mayo de 2026. Utilice estas fuentes primarias para verificar el comportamiento del protocolo, las afirmaciones de la plataforma y la postura de seguridad antes de la adquisición.