Ataque

Claude, MCP y Tool-Poisoning

En Claude Code, el ataque más subestimado no es el prompt del usuario, sino la descripción de una herramienta: acaba en la misma ventana de contexto sobre la que Claude razona — y ahí puede colar instrucciones.

~6 min de lectura · Ataque

El problema de MCP

Los servidores MCP dan nuevas herramientas a Claude. Sus descripciones fluyen al mismo contexto que tu tarea real. Una descripción maliciosa inyecta instrucciones directamente en el razonamiento de Claude — eso se llama Tool-Poisoning.

La Prompt Injection a través de descripciones de herramientas es la amenaza más subestimada del ecosistema MCP — la descripción está en la misma ventana de contexto sobre la que razona el modelo.

Casos reales

CVE-2026-23744 — ejecución remota de código en el MCPJam Inspector.
Un PDF manipulado disparó una bomba física a través de un enlace MCP de Claude.
Los atacantes alcanzaron el servidor MCP de GitHub y exfiltraron datos de repos privados mediante issues maliciosos.
Un ecosistema de plugins envenenado se ocultó durante seis meses — 47 empresas afectadas.

"One GitHub Issue to break the supply chain": un único issue manipulado bastó para envenenar Claude Code.

Cada agente de codificación cae

Una revisión de 78 estudios (enero de 2026) probó Claude Code, GitHub Copilot y Cursor — todos cayeron ante la Prompt Injection; los ataques adaptativos acertaron en más del 85 % de los casos. No es un bug de un proveedor, sino una propiedad de la arquitectura.

La protección de Claude — y sus límites

Claude Code incorpora salvaguardas reales: sistema de permisos, análisis consciente del contexto, sanitización de la entrada, una lista de bloqueo contra comandos arriesgados como curl/wget. Bien — pero la fatiga de permisos, los nuevos bypasses y, sobre todo, la capa persistente en ~/.claude (skills, configuraciones MCP, memoria) siguen siendo atacables.

Cómo complementa PoisonZero

Las barreras de Claude revisan el prompt concreto en el momento. PoisonZero asegura lo que se almacena de forma permanente:

Vigila localmente ~/.claude, las configuraciones de servidores MCP y la memoria.
Evalúa cada escritura; lo peligroso se revierte fail-closed — antes de que actúe en la siguiente sesión.
Detecta entradas que intentan desactivar los mecanismos de protección (Meta-Attacks).

Relacionado: Prompt Injection, Los skills como puerta de entrada y Poisoned Pipeline Execution.

Asegura la capa persistente de Claude.

PoisonZero vigila ~/.claude, las configuraciones MCP y la memoria — y revierte fail-closed las escrituras envenenadas.

Probar 14 días

Seguir leyendo: Prompt Injection explicado · Los skills como puerta de entrada · Poisoned Pipeline Execution

Todos los artículos